UniFi a zabezpečení na L2 (bez izolace klientů)

m4rk3J

Ahoj,
dostala se mi do rukou přes známého jedna menší síť... topologie je velmi jednoduchá, routoval to MikroTik RB433AH.. access byl na hloupých HPE/ZyXEL switchích, APčka jsou ACčková UniFi s kontrolérem na jednom Wokenním PC (teď už Docker jinde).

Ve skladu jim tu ležel RB5009 a několik SG3452X, které sehnali, ale admin to prý neuměl nastavit, takže tohle je již vyřešeno...

Ten hlavní problém: osobně skoro vůbec nepracuji s UBNT, takže jsem se snažil googlit, ale nějaké věci jsem si stále neobjasnil..
Je mi jasné, že tunelovat provoz na kontrolér nejde.. problém pro mě je ale ten, že na síti potřebují funkční komunikaci na L2 (a to i mezi klienty na bezdrátu).. zároveň tu jsou docela mladé existence, které se občas asi nudí a provádí takové ty dětské věci jako ARP spoofing, pouští falešný DHCP server apod. .
Na kabelové síti je to již v pořádku, s těmi novými switchi se to hezky eliminuje a já o všem vím okamžitě z dohledu a to i na IPv6 (ta tu sice zatím není, ale to riziko tam je vždy)...

Na bezdrátu plánuji přechod na WPA2/3-EAP, ale to ten problém neeliminuje.. dá se nějakým způsobem s těmito AP používat např. DHCP snooping, IP source guard a prostě takové ty běžné věci, co umí i ten TP-Link switch (+ ekvivalenty na IPv6)

Četl jsem zde spoustu vláken, že to nasazujete ve školách a firmách, takže předpokládám, že to nějak půjde a že jsem jen marný v hledání 😃
Děkuji.

ludvik

No a nebo to nikoho nezajímá, protože na jednu VLAN (SSID) posadí jen prověřené usery a ti, co to toho schopní dostanou jinou. :-)

Neznám všechno, ale DHCP snooping/guard atd. jsem na wifi ještě neviděl.

jcltm

ludvik Přesně. I pokud by někdo spustil na wifi klientovi falešný DHCP server, zařízne to nejdále port na switchi ke kterému je AP připojeno a dál se to nerozšíří.

m4rk3J

ludvik Jenže ti, co toho jsou schopni musí být ve stejné VLANě jako to /pošahané nejmenované/ zařízení, které komunikuje jen na L2, protože na něj musí mít přístup. Normálně bych to tak udělal, ale tady to prostě není technicky proveditelné bez výměny železa. Aktuálně si je ani nemohu vyhmátnout, když je tu jedno předsdílené heslo. Max přijít s PPSK a dát každému unikát, ale to si stejně mohou rozkecat. Do budoucna to tak jako tak není udržitelné.

Třeba na Ciscu je to jednoduché, pokud se používá tunelování na WLC - stačí povolit DHCP proxy a k falešnému serveru se nic nedostane.. jen to je trošku jiná cenová relace :/ U Huawei to jde s Fit AP a kontrolérem podobně, ale to je zas Čína..

jcltm To je pravda, nicméně v rámci jednoho AP ne a tady jsou APčka jen 4, takže by to neměl těžké.

--
Rád bych to vyřešil jednoduše, ale v této situaci to bohužel není možné :/

martas

m4rk3J DHCP Snooping i DHCP Guarding se dá zapnout v Networks v Unifi.

jcltm

martas Jo, ale to je IMHO jen nastavení pro switche...

zajdee

Unifi neumi ani na switchich spravne ochranit pred IPv6 spoofingem (fake DHCPv6 server, IPv6 RA spoofing).
Obavam se, ze kompletne funkcni ochranu umi az zarizeni vyssi cenove kategorie od jinych vyrobcu.

jcltm

zajdee Bohužel, IPv6 je u všech těchhle "prosumer" výrobků stále v plenkách... Je otázka jestli až tak dalece sahají znalosti případných útočníků a jestli se to vůbec dnes vyplatí řešit (jakou by to vlastně způsobilo škodu).

m4rk3J

Pánové, moc vám všem děkuji za názory. Chápu, že jsem v tomto ohledu asi divný a zbytečně paranoidní, jen už nás to jednou doběhlo ve škole a od té doby se snažím co nejlépe chránit úplně vše.

Zatím jsem to vyřešil takto:
Nasadil jsem tam dočasně svá vlastní Huawei APčka ve FAT módu (konkrétně levná AP361), na kterých se to dá nakonfigurovat (přes CLI nebo přes ten extrémně pomalý web). Hrál jsem si s tím a falešné DHCP to nepropustí ani mezi klienty na stejném WiFi iface... ARP spoofing / statickou IPv4 jsem zkusil a automaticky mě hodilo AP na black list, což je asi i dobře, alespoň uvidíme, kdo bude brečet 😃 IPv6 AP výchoze blokují kompletně, takže tam nikdo bordel dělat nemůže, ale musím si s tím ještě pohrát a otestovat.

Stejně ale budu muset asi najít jiné řešení nebo vendora, protože přeci jenom Huawei... ale překvapilo mě, jak jsou ta APčka výkonná a stabilní v zarušeném prostředí. Ten upgrade z AC na AX je znát.