Thema: (Gelöst) Einbruch ins LAN? Ungewöhnliche DHCP Anfragen

Heute hab ich einen seltsamen Eintrag in meinem Log-File entdeckt.

Eine DHCP-Anfrage von einem Rechner mit Netwerkkarte, den es gar nicht in meinem Netz gibt.

Da die Anfrage von eth0 (LAN) kam, wurde auch eine IP-Adresse zugewiesen.
Schöner Scheiß... hab natürlich sofort das Netz getrennt, DHCP abgestellt, die DHCP-Konfiguration geändert und den Server neu gestartet.

Jetzt werden alle IP-Adressen im Netz fix pro MAC-Adresse vergeben. Aber wie der Eindringling reinkam, ist mir noch schleierhaft.

Und dann blieben folgende drei Pakete in meiner Firewall hängen:

Code:

Dec 14 15:52:33 server1 [IPT OUT]: IN= OUT=eth0 SRC=192.168.1.1 DST=192.168.1.237 LEN=356 TOS=0x00 PREC=0xC0 TTL=64 ID=31303 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.237 DST=192.168.1.1 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=25169 PROTO=UDP SPT=68 DPT=67 LEN=308 ]
Dec 14 15:52:37 server1 [IPT OUT]: IN= OUT=eth0 SRC=192.168.1.1 DST=192.168.1.237 LEN=356 TOS=0x00 PREC=0xC0 TTL=64 ID=31304 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.237 DST=192.168.1.1 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=25170 PROTO=UDP SPT=68 DPT=67 LEN=308 ]
Dec 14 15:52:46 server1 [IPT OUT]: IN= OUT=eth0 SRC=192.168.1.1 DST=192.168.1.237 LEN=356 TOS=0x00 PREC=0xC0 TTL=64 ID=31305 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.237 DST=192.168.1.1 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=25188 PROTO=UDP SPT=68 DPT=67 LEN=308 ]

Der erste Teil sieht wie ein normales ICMP aus, aber in Klammer ist es ein DHCP-Paket.

OK, da ich hier keine Frage sehe, stelle ich mal selbst welche.

Wie kann jemand überhautp eingedrungen sein?

Du sprichst von einem LAN, also ist alles kabelgebunden? Wie kann sich jemand physikalischen Zugang verschafft haben, damit er von innen (also AUS dem Lan) Zugriff bekommen könnte?

Bietest Du irgendwelche Serverdienste an, welche ausgenutzt werden könnten um Zugang zu erhalten? Die Anfrage kam ja laut Deiner Aussage aus dem LAN, d.h. jemand müsste sich eigentlich "angestöpselt" haben, oder aber Dein DHCP-Server beantwortet Anfragen von außen? Das kann eigentlich bei richtiger Konfiguration nicht sein (externes & internes Interface getrennt).

Wie sehen die verdächtigen Einträge in den Logfiles aus? Ist eine MAC-Adresse des Anfragenden zu erkennen?

Greetz,

RM

Wie kann jemand überhautp eingedrungen sein?

Deswegen hier mal einige Regeln in sachen DHCP die mit aller Wahrscheinlich neue Fragen aufstellen .

1. Regel

IP-Adressbereich des DHCP-Servers
In jedem IP-Netzwerk sind die Adressen zwischen 20 und 200 im vierten Block der IP-Adresse für den DHCPServer
reserviert.
Im Falle der werksseitig vorgegebenen Einstellungen stehen dem DHCP-Server jeweils die folgenden Adressbereiche
zur Verfügung:
– Adressbereich des DHCP-Servers: 192.168.2.20 - 200

Diese Regel trifft zu wenn der DHCP aktiviert ist und die Rechner Die IP automatisch vom Server beziehen .

2. Regel

Feste IP-Adressen bei aktiviertem DHCP-Server
Wenn Sie einzelnen Computern, die mit dem Speedport W 701V verbunden sind, trotz aktivierten DHCP-Servers
feste IP-Adressen geben wollen, dann müssen Sie in den IP-Einstellungen dieser Computer die Einstellung
„IP-Adresse automatisch beziehen“ deaktivieren und die feste IP-Adresse manuell in den dafür vorgesehenen
Feldern eintragen.
Die IP-Adressen, die Sie an die Computer vergeben, dürfen nicht aus dem IP-Adressbereich des DHCP-Servers
stammen. Die IP-Adressen müssen aus dem Subnetz des Speedports W 701V stammen.
Für die werksseitig vorgegebenen Einstellungen stehen somit folgenden IP-Adressen zu Verfügung:
– 192.168.2.2 - 19
– 192.168.2.201 - 254
Jede IP-Adresse darf nur einmal vergeben werden.

Diese Regel trifft zu wenn der DHCP aktiviert ist und die Rechner Die IP manuel vom Server beziehen . Bei dieser Regel ist zubeachten , das auch Rechner die auf IP Adresse Automatisch beziehen eingestellt sind zugriff haben . Aber nur in den in Regel 1 genannten Breich des 4ten Blocks .

3. Regel

Feste IP-Adressen bei nicht aktiviertem DHCP-Server
Wenn Sie den DHCP-Server deaktivieren, dann müssen Sie jedem Computer, der
mit dem DHCP verbunden ist, eine feste IP-Adresse

Muß glaube ich nicht weiter erklärt werden .

Diese Regeln stammen aus einem Handbuch für Ruoter sind aber allgemein gültig soviel ich weis !

Was mich nun aber persöhnlich irritiert ist die oben genannte IP Adresse

192.168.1.237

Man beachte den 4ten Block schon aus dem Grund da er Komplett von den Regeln abweicht !

MfG

BOOTLEG

So, nachdem ich am Nachmittag ein bißchen im Streß war, kann ich jetzt ein bißchen ins Detail gehen.

Folgende Ausgangssituation:

Kleines Netzwerk, Internetzugang via Kabelmodem, 1 Linux-Server als Firewall und DHCP-Server fürs interne Netz, 5 Windows-Workstations.

Der DHCP-Server ist so konfiguriert, daß er nur auf Anfragen von Rechner aus dem internen Netz antwortet. Jedem Arbeitsplatz-Rechner wird in Abhängigkeit von seiner MAC-Nummer eine IP-Adresse zugeordnet (daher z.B. die 192.168.1.237), für allfällige andere intern angeschlossene Geräte (z.B. Laptop) werden dynamisch IP-Adressen aus dem Bereich 192.168.1.11-20 vergeben.

Auf dem Linux-Server läuft außer DHCP nur noch ein NTP und SSH (nur mit Schlüssel zugänglich).

Physisch hat außer meinen 4 KollegInnen und mir niemand Zugang zu den Computern. Keine/r von meinen KollegInnen verfügt auch nur annähernd über das Knowhow, wie man in einen Computer eindringt. Außerdem haben sie sowieso Zugang zu allen Rechnern, vom Server jetzt mal abgesehen.

Was sagt ihr zu den drei ICMP-Paketen? Für mich schaut das so aus, als würde von einem internen Rechner aus ein Angriff auf den Server erfolgen. Aber wie kam der Eindringling überhaupt hinein?

Den Server hab ich gestern in Betrieb genommen. Davor hingen alle Windows-Rechner jeder für sich mehr oder weniger ungeschützt im Internet (sieht man mal von der WinXP-Firewall ab, und einem Virenscanner).

Vielleicht fand der Einbruch auch schon früher statt, und der Eindringling kann jetzt von innen raus, denn Port 80 ist natürlich fürs Surfen offen.

Die Firewall verbietet grundsätzlich jeden Verbindungsaufbau von außen, außer SSH natürlich. Aber da dieser Zugang nur mit Schlüssel möglich ist, dürfte SSH als Eintrittspforte ausscheiden, oder?

Neben den üblichen Einstellungen, wie z.B.
eingehende SYN vebieten ...
eingehende NEW, INVALID verbieten ...
eingehende ESTABLISHED, RELATED erlauben ...
ausgehende NEW, ESTABLISHED, RELATED erlauben ...

... werden eingehende Pakete auch auf Spoofing geprüft, also alles von
0.0.0.0/8, 127.0.0.0/8, 255.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.1.0/16, was über das externe Interface reinkommt, wird verworfen.

Sogenannte schlechte TCP-Pakete werden auch verworfen, also z.B. Pakete, die NEW sind, aber nicht SYN, oder SYN/ACK und NEW.

Alles, was sich von extern auf die Ports 135, 137-139 und 445 verbinden will, wird ebenfalls ins digitale Nirvana geschickt.

Erlaubt ist alles von und zum Interface lo.
Weiters sind Verbindungen zu den beiden Zeitservern erlaubt, sofern sie intern initiiert werden. Das gleiche gilt für die beiden DNS-Server.

Und die Default-Policies sind natürlich DROP für INPUT, OUTPUT und FORWARD.

Wo ist das Schlupfloch? Oder gibt es keines, und der Eindringling war schon (auf einer der Workstations) da, bevor ich den Server aktiviert habe.

Zitat von Rain_Maker

Bietest Du irgendwelche Serverdienste an, welche ausgenutzt werden könnten um Zugang zu erhalten? Die Anfrage kam ja laut Deiner Aussage aus dem LAN, d.h. jemand müsste sich eigentlich "angestöpselt" haben, oder aber Dein DHCP-Server beantwortet Anfragen von außen? Das kann eigentlich bei richtiger Konfiguration nicht sein (externes & internes Interface getrennt).

Nach außen lauscht nur SSH. Das ist aber so konfiguriert, daß es nur einen Schlüssel akzeptiert.

Zitat von Rain_Maker

Wie sehen die verdächtigen Einträge in den Logfiles aus? Ist eine MAC-Adresse des Anfragenden zu erkennen?

Ich hab im Logfile gesehen, daß eine DHCP-Anfrage über eth0 kam und eine interne IP-Adresse vergeben wurde. Da wurde ich stutzig, denn alle meine Rechner haben fixe IP-Adressen zugeordnet. Also hab ich mir den Eintrag genauer angesehen und da bemerkte ich, daß die MAC-Adresse nicht zu den Netzwerkkarten gehört, die ich in den Rechnern habe.

Poste doch mal die dhcpd.conf, da Du aber hier:

Schöner Scheiß... hab natürlich sofort das Netz getrennt, DHCP abgestellt, die DHCP-Konfiguration geändert und den Server neu gestartet.

schon etwas geändert hast, wären natürlich nur die alten Config von Interesse, falls noch vorhanden.

Welche Distri setzt Du ein?

BTW:

Nur zur Sicherheit, damit es da keine Mißverständniss gibt.

Router hat die IP 192.168.1.1 und das interne Interface ist eth0?

Greetz,

RM

@ DerGrosseBaer

Kann das sein das du deinen eigenen Schatten jagst ?

Begründung :

Damit ein Router immer aus einem Lokalen Netzwerk erreichbar ist hat dieser grundsätzlich 2 IP Adressen wobei die bekannt 192.168.x.x eigentlich nur dafür da ist um ins Menü zukommen . Oder besser gesagt dafür da ist um in das Menü zukommen es gibt aber noch eine 2te .

Nun hast du ja in dem Sinn keinen Router aber der DHCP benötigt doch auch eine IP damit er immer erreichbar ist oder liege ich da falsch ?


MfG

BOOTLEG

Zitat von Rain_Maker

Poste doch mal die dhcpd.conf, da Du aber hier:
schon etwas geändert hast, wären natürlich nur die alten Config von Interesse, falls noch vorhanden.

Ok, hier ist die dhcp.conf-Datei, wie sie ursprünglich war:

Code:

# dhcpd.conf
#

option domain-name-servers 195.58.xxx.xx1, 195.58.xxx.xx2;
option routers 192.168.1.1;
option broadcast-address 192.168.1.255;
option subnet-mask 255.255.255.0;
authoritative;
ddns-update-style ad-hoc;
default-lease-time 3600;
max-lease-time 7200;

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.11 192.168.1.20;
  default-lease-time 864000;
  max-lease-time 864000;
}

host rechner1 {
  hardware ethernet 00:aa:bb:ad:da:7e;
  fixed-address 192.168.1.2;
}

host rechner2 {
  hardware ethernet 00:aa:bb:ad:da:cc;
  fixed-address 192.168.1.3;
}
usw.

Zitat von Rain_Maker

Welche Distri setzt Du ein?

Gentoo Linux 2.6.18-r4, alle installierten Pakete auf dem letzten stabilen Stand.

Zitat von Rain_Maker

Nur zur Sicherheit, damit es da keine Mißverständniss gibt.
Router hat die IP 192.168.1.1 und das interne Interface ist eth0?

So ist es.

Zitat von BOOTLEG

@ DerGrosseBaer
Kann das sein das du deinen eigenen Schatten jagst ?

Ich wäre nicht unglücklich, wenn ich morgen in die Firma komme und feststelle, daß ich mich geirrt habe. ;-)

Zitat von BOOTLEG

Damit ein Ruoter immer aus einem Lokalen Netzwerk erreichbar ist hat dieser grundsätzlich 2 IP Adressen wobei die bekannt 192.168.x.x eigentlich nur dafür da ist um ins Menü zukommen . Oder besser gesagt dafür da ist um in das Menü zukommen es gibt aber noch eine 2te .

Nun hast du ja in dem Sinn keinen Ruoter aber der DHCP benötigt doch auch eine IP damit er immer erreichbar ist oder liege ich da falsch ?

Mein Linux-Server ist der Router. Er hat zwei Netzwerkkarten, eth0 und eth1. Die eine ist für das interne Netz, die andere ist mit dem Kabelmodem und damit mit dem Internet verbunden.

@ DerGrosseBaer

Zu mindestens hab ich dafür eine Erklärung

Ich hab im Logfile gesehen, daß eine DHCP-Anfrage über eth0 kam und eine interne IP-Adresse vergeben wurde. Da wurde ich stutzig, denn alle meine Rechner haben fixe IP-Adressen zugeordnet. Also hab ich mir den Eintrag genauer angesehen und da bemerkte ich, daß die MAC-Adresse nicht zu den Netzwerkkarten gehört, die ich in den Rechnern habe.

Meines wissens ist das so wenn ein DHCP für eine IP Adresse keine MAC Adresse hat , findet , erkennen kann , keine eingegeben ist .

So generiert der DHCP sich selbst eine und verwendet dann diese .

So oder so ähnlich habe ich das mal in einem Menü eines Hardware ( externen ) Ruoter gelesen . Und ich gehe mal davon aus das dieses bei deinem internen nicht anders ist :

Hoffentlich bringt dich das weiter .

MfG

BOOTLEG