(Gelöst) Einbruch ins LAN? Ungewöhnliche DHCP Anfragen

[DerGrosseBaer]

Heute hab ich einen seltsamen Eintrag in meinem Log-File entdeckt.

Eine DHCP-Anfrage von einem Rechner mit Netwerkkarte, den es gar nicht in meinem Netz gibt.

Da die Anfrage von eth0 (LAN) kam, wurde auch eine IP-Adresse zugewiesen.
Schöner Scheiß... hab natürlich sofort das Netz getrennt, DHCP abgestellt, die DHCP-Konfiguration geändert und den Server neu gestartet.

Jetzt werden alle IP-Adressen im Netz fix pro MAC-Adresse vergeben. Aber wie der Eindringling reinkam, ist mir noch schleierhaft.

Und dann blieben folgende drei Pakete in meiner Firewall hängen:

Dec 14 15:52:33 server1 [IPT OUT]: IN= OUT=eth0 SRC=192.168.1.1 DST=192.168.1.237 LEN=356 TOS=0x00 PREC=0xC0 TTL=64 ID=31303 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.237 DST=192.168.1.1 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=25169 PROTO=UDP SPT=68 DPT=67 LEN=308 ]
Dec 14 15:52:37 server1 [IPT OUT]: IN= OUT=eth0 SRC=192.168.1.1 DST=192.168.1.237 LEN=356 TOS=0x00 PREC=0xC0 TTL=64 ID=31304 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.237 DST=192.168.1.1 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=25170 PROTO=UDP SPT=68 DPT=67 LEN=308 ]
Dec 14 15:52:46 server1 [IPT OUT]: IN= OUT=eth0 SRC=192.168.1.1 DST=192.168.1.237 LEN=356 TOS=0x00 PREC=0xC0 TTL=64 ID=31305 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.237 DST=192.168.1.1 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=25188 PROTO=UDP SPT=68 DPT=67 LEN=308 ]

Der erste Teil sieht wie ein normales ICMP aus, aber in Klammer ist es ein DHCP-Paket.

 

[Rain_Maker]

AW: Einbruch

OK, da ich hier keine Frage sehe, stelle ich mal selbst welche.

Wie kann jemand überhautp eingedrungen sein?

Du sprichst von einem LAN, also ist alles kabelgebunden? Wie kann sich jemand physikalischen Zugang verschafft haben, damit er von innen (also AUS dem Lan) Zugriff bekommen könnte?

Bietest Du irgendwelche Serverdienste an, welche ausgenutzt werden könnten um Zugang zu erhalten? Die Anfrage kam ja laut Deiner Aussage aus dem LAN, d.h. jemand müsste sich eigentlich "angestöpselt" haben, oder aber Dein DHCP-Server beantwortet Anfragen von außen? Das kann eigentlich bei richtiger Konfiguration nicht sein (externes & internes Interface getrennt).

Wie sehen die verdächtigen Einträge in den Logfiles aus? Ist eine MAC-Adresse des Anfragenden zu erkennen?

Greetz,

RM

 

[BOOTLEG]

AW: Einbruch

Wie kann jemand überhautp eingedrungen sein?

Deswegen hier mal einige Regeln in sachen DHCP die mit aller Wahrscheinlich neue Fragen aufstellen .

1. Regel

IP-Adressbereich des DHCP-Servers
In jedem IP-Netzwerk sind die Adressen zwischen 20 und 200 im vierten Block der IP-Adresse für den DHCPServer
reserviert.
Im Falle der werksseitig vorgegebenen Einstellungen stehen dem DHCP-Server jeweils die folgenden Adressbereiche
zur Verfügung:
– Adressbereich des DHCP-Servers: 192.168.2.20 - 200

Diese Regel trifft zu wenn der DHCP aktiviert ist und die Rechner Die IP automatisch vom Server beziehen .

2. Regel

Feste IP-Adressen bei aktiviertem DHCP-Server
Wenn Sie einzelnen Computern, die mit dem Speedport W 701V verbunden sind, trotz aktivierten DHCP-Servers
feste IP-Adressen geben wollen, dann müssen Sie in den IP-Einstellungen dieser Computer die Einstellung
„IP-Adresse automatisch beziehen“ deaktivieren und die feste IP-Adresse manuell in den dafür vorgesehenen
Feldern eintragen.
Die IP-Adressen, die Sie an die Computer vergeben, dürfen nicht aus dem IP-Adressbereich des DHCP-Servers
stammen. Die IP-Adressen müssen aus dem Subnetz des Speedports W 701V stammen.
Für die werksseitig vorgegebenen Einstellungen stehen somit folgenden IP-Adressen zu Verfügung:
– 192.168.2.2 - 19
– 192.168.2.201 - 254
Jede IP-Adresse darf nur einmal vergeben werden.

Diese Regel trifft zu wenn der DHCP aktiviert ist und die Rechner Die IP manuel vom Server beziehen . Bei dieser Regel ist zubeachten , das auch Rechner die auf IP Adresse Automatisch beziehen eingestellt sind zugriff haben . Aber nur in den in Regel 1 genannten Breich des 4ten Blocks .

3. Regel

Feste IP-Adressen bei nicht aktiviertem DHCP-Server
Wenn Sie den DHCP-Server deaktivieren, dann müssen Sie jedem Computer, der
mit dem DHCP verbunden ist, eine feste IP-Adresse

Muß glaube ich nicht weiter erklärt werden .

Diese Regeln stammen aus einem Handbuch für Ruoter sind aber allgemein gültig soviel ich weis !

Was mich nun aber persöhnlich irritiert ist die oben genannte IP Adresse

192.168.1.237

Man beachte den 4ten Block schon aus dem Grund da er Komplett von den Regeln abweicht !

MfG

BOOTLEG

 

[DerGrosseBaer]

AW: Einbruch

So, nachdem ich am Nachmittag ein bißchen im Streß war, kann ich jetzt ein bißchen ins Detail gehen.

Folgende Ausgangssituation:

Kleines Netzwerk, Internetzugang via Kabelmodem, 1 Linux-Server als Firewall und DHCP-Server fürs interne Netz, 5 Windows-Workstations.

Der DHCP-Server ist so konfiguriert, daß er nur auf Anfragen von Rechner aus dem internen Netz antwortet. Jedem Arbeitsplatz-Rechner wird in Abhängigkeit von seiner MAC-Nummer eine IP-Adresse zugeordnet (daher z.B. die 192.168.1.237), für allfällige andere intern angeschlossene Geräte (z.B. Laptop) werden dynamisch IP-Adressen aus dem Bereich 192.168.1.11-20 vergeben.

Auf dem Linux-Server läuft außer DHCP nur noch ein NTP und SSH (nur mit Schlüssel zugänglich).

Physisch hat außer meinen 4 KollegInnen und mir niemand Zugang zu den Computern. Keine/r von meinen KollegInnen verfügt auch nur annähernd über das Knowhow, wie man in einen Computer eindringt. Außerdem haben sie sowieso Zugang zu allen Rechnern, vom Server jetzt mal abgesehen.

Was sagt ihr zu den drei ICMP-Paketen? Für mich schaut das so aus, als würde von einem internen Rechner aus ein Angriff auf den Server erfolgen. Aber wie kam der Eindringling überhaupt hinein?

Den Server hab ich gestern in Betrieb genommen. Davor hingen alle Windows-Rechner jeder für sich mehr oder weniger ungeschützt im Internet (sieht man mal von der WinXP-Firewall ab, und einem Virenscanner).

Vielleicht fand der Einbruch auch schon früher statt, und der Eindringling kann jetzt von innen raus, denn Port 80 ist natürlich fürs Surfen offen.

Die Firewall verbietet grundsätzlich jeden Verbindungsaufbau von außen, außer SSH natürlich. Aber da dieser Zugang nur mit Schlüssel möglich ist, dürfte SSH als Eintrittspforte ausscheiden, oder?

Neben den üblichen Einstellungen, wie z.B.
eingehende SYN vebieten ...
eingehende NEW, INVALID verbieten ...
eingehende ESTABLISHED, RELATED erlauben ...
ausgehende NEW, ESTABLISHED, RELATED erlauben ...

... werden eingehende Pakete auch auf Spoofing geprüft, also alles von
0.0.0.0/8, 127.0.0.0/8, 255.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.1.0/16, was über das externe Interface reinkommt, wird verworfen.

Sogenannte schlechte TCP-Pakete werden auch verworfen, also z.B. Pakete, die NEW sind, aber nicht SYN, oder SYN/ACK und NEW.

Alles, was sich von extern auf die Ports 135, 137-139 und 445 verbinden will, wird ebenfalls ins digitale Nirvana geschickt.

Erlaubt ist alles von und zum Interface lo.
Weiters sind Verbindungen zu den beiden Zeitservern erlaubt, sofern sie intern initiiert werden. Das gleiche gilt für die beiden DNS-Server.

Und die Default-Policies sind natürlich DROP für INPUT, OUTPUT und FORWARD.

Wo ist das Schlupfloch? Oder gibt es keines, und der Eindringling war schon (auf einer der Workstations) da, bevor ich den Server aktiviert habe.

 

[DerGrosseBaer]

AW: Einbruch

Bietest Du irgendwelche Serverdienste an, welche ausgenutzt werden könnten um Zugang zu erhalten? Die Anfrage kam ja laut Deiner Aussage aus dem LAN, d.h. jemand müsste sich eigentlich "angestöpselt" haben, oder aber Dein DHCP-Server beantwortet Anfragen von außen? Das kann eigentlich bei richtiger Konfiguration nicht sein (externes & internes Interface getrennt).

Nach außen lauscht nur SSH. Das ist aber so konfiguriert, daß es nur einen Schlüssel akzeptiert.

Wie sehen die verdächtigen Einträge in den Logfiles aus? Ist eine MAC-Adresse des Anfragenden zu erkennen?

Ich hab im Logfile gesehen, daß eine DHCP-Anfrage über eth0 kam und eine interne IP-Adresse vergeben wurde. Da wurde ich stutzig, denn alle meine Rechner haben fixe IP-Adressen zugeordnet. Also hab ich mir den Eintrag genauer angesehen und da bemerkte ich, daß die MAC-Adresse nicht zu den Netzwerkkarten gehört, die ich in den Rechnern habe.

 

[Rain_Maker]

AW: Einbruch

Poste doch mal die dhcpd.conf, da Du aber hier:

Schöner Scheiß... hab natürlich sofort das Netz getrennt, DHCP abgestellt, die DHCP-Konfiguration geändert und den Server neu gestartet.

schon etwas geändert hast, wären natürlich nur die alten Config von Interesse, falls noch vorhanden.

Welche Distri setzt Du ein?

BTW:

Nur zur Sicherheit, damit es da keine Mißverständniss gibt.

Router hat die IP 192.168.1.1 und das interne Interface ist eth0?

Greetz,

RM

 

[BOOTLEG]

AW: Einbruch

@ DerGrosseBaer

Kann das sein das du deinen eigenen Schatten jagst ?

Begründung :

Damit ein Router immer aus einem Lokalen Netzwerk erreichbar ist hat dieser grundsätzlich 2 IP Adressen wobei die bekannt 192.168.x.x eigentlich nur dafür da ist um ins Menü zukommen . Oder besser gesagt dafür da ist um in das Menü zukommen es gibt aber noch eine 2te .

Nun hast du ja in dem Sinn keinen Router aber der DHCP benötigt doch auch eine IP damit er immer erreichbar ist oder liege ich da falsch ?


MfG

BOOTLEG

 

[DerGrosseBaer]

AW: Einbruch

Poste doch mal die dhcpd.conf, da Du aber hier:
schon etwas geändert hast, wären natürlich nur die alten Config von Interesse, falls noch vorhanden.

Ok, hier ist die dhcp.conf-Datei, wie sie ursprünglich war:

# dhcpd.conf
#

option domain-name-servers 195.58.xxx.xx1, 195.58.xxx.xx2;
option routers 192.168.1.1;
option broadcast-address 192.168.1.255;
option subnet-mask 255.255.255.0;
authoritative;
ddns-update-style ad-hoc;
default-lease-time 3600;
max-lease-time 7200;

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.11 192.168.1.20;
  default-lease-time 864000;
  max-lease-time 864000;
}

host rechner1 {
  hardware ethernet 00:aa:bb:ad:da:7e;
  fixed-address 192.168.1.2;
}

host rechner2 {
  hardware ethernet 00:aa:bb:ad:da:cc;
  fixed-address 192.168.1.3;
}
usw.

Welche Distri setzt Du ein?

Gentoo Linux 2.6.18-r4, alle installierten Pakete auf dem letzten stabilen Stand.

Nur zur Sicherheit, damit es da keine Mißverständniss gibt.
Router hat die IP 192.168.1.1 und das interne Interface ist eth0?

So ist es.

 

[DerGrosseBaer]

AW: Einbruch

@ DerGrosseBaer
Kann das sein das du deinen eigenen Schatten jagst ?

Ich wäre nicht unglücklich, wenn ich morgen in die Firma komme und feststelle, daß ich mich geirrt habe. ;-)

Damit ein Ruoter immer aus einem Lokalen Netzwerk erreichbar ist hat dieser grundsätzlich 2 IP Adressen wobei die bekannt 192.168.x.x eigentlich nur dafür da ist um ins Menü zukommen . Oder besser gesagt dafür da ist um in das Menü zukommen es gibt aber noch eine 2te .

Nun hast du ja in dem Sinn keinen Ruoter aber der DHCP benötigt doch auch eine IP damit er immer erreichbar ist oder liege ich da falsch ?

Mein Linux-Server ist der Router. Er hat zwei Netzwerkkarten, eth0 und eth1. Die eine ist für das interne Netz, die andere ist mit dem Kabelmodem und damit mit dem Internet verbunden.

 

[BOOTLEG]

AW: Einbruch

@ DerGrosseBaer

Zu mindestens hab ich dafür eine Erklärung

Ich hab im Logfile gesehen, daß eine DHCP-Anfrage über eth0 kam und eine interne IP-Adresse vergeben wurde. Da wurde ich stutzig, denn alle meine Rechner haben fixe IP-Adressen zugeordnet. Also hab ich mir den Eintrag genauer angesehen und da bemerkte ich, daß die MAC-Adresse nicht zu den Netzwerkkarten gehört, die ich in den Rechnern habe.

Meines wissens ist das so wenn ein DHCP für eine IP Adresse keine MAC Adresse hat , findet , erkennen kann , keine eingegeben ist .

So generiert der DHCP sich selbst eine und verwendet dann diese .

So oder so ähnlich habe ich das mal in einem Menü eines Hardware ( externen ) Ruoter gelesen . Und ich gehe mal davon aus das dieses bei deinem internen nicht anders ist :

Hoffentlich bringt dich das weiter .

MfG

BOOTLEG

 

[DerGrosseBaer]

AW: Einbruch

Heute hab ich mal den gesamten Netzwerkverkehr mit tcpdump mitgenschnitten. Folgendes kam dabei (mehrmals) zu Tage:

11:04:26.347609 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:10:83:77:dd:6e (oui Unknown), length: 548
11:05:01.948893 IPX 00000000.00:10:83:77:dd:6e.0452 > 00000000.ff:ff:ff:ff:ff:ff.0452: ipx-sap-resp IntelNetport2/HP JetDirect/HP Quicksilver '00108377DD6E80CXNPI77DD6E' addr 00000000.00:10:83:77:dd:6e

00:10:83:77:dd:6e ist die MAC-Adresse, die es eigentlich nicht geben dürfte.
Zu "ipx-sap-resp" hab ich folgendes im Internet gefunden:

"The Novell IPX protocol uses Service Advertiser Protocol (SAP) announcements to advertise services to end users. A type code is used within the SAP advertisement to specify the type of service that is available.

A listing of commonly used IPX SAP type codes is maintained by the Internet Assigned Numbers Authority (IANA). The information presented here is reproduced with permission from the IANA. For the most current SAP type code number assignment information, refer to http://www.iana.org/numbers.htm under the "Novell SAP Numbers" link. Table J-1 shows the SAP type code numbers in both decimal and hexadecimal."

Quelle: Default Safari Online - 1587050242 - Cisco® Field Manual: Router Configuration

 

[BOOTLEG]

AW: Einbruch

Hast du Drucker in deinem Netzwerk und sind die zufälliig von HP und wenn diese dann auch noch zufällig als Netzwerkdrucker konfiguriert sind würde dieses zumindestens den eintrag HP erklären . Und der Verkehr der oder drucker (s) läuft uber die Karte 0 wenn diese intern geschaltet ist .

MfG

BOOTLEG

 

[DerGrosseBaer]

AW: Einbruch

Hast du Drucker in deinem Netzwerk und sind die zufälliig von HP und wenn diese dann auch noch zufällig als Netzwerkdrucker konfiguriert sind würde dieses zumindestens den eintrag HP erklären . Und der Verkehr der oder drucker (s) läuft uber die Karte 0 wenn diese intern geschaltet ist .

Ja, es gibt zwei Drucker, aber keiner davon ist ein netzwerkfähiger Drucker. Die hängen beide an der parallelen Schnittstelle. Allerdings sind beide im Windows-Netz freigegeben. Einer davon ist von HP.

Was fängt ein Drucker, der an der parallelen Schnittstelle hängt, mit einer IP-Adresse an? Und wenn der eine, warum dann nicht der andere auch? Der ist von Ricoh.

 

[BOOTLEG]

AW: Einbruch

Also ich würde mal sagen das ein Drucker im Netzwerk eine Adresse oder auch auch Hausnr. brauch und das ist meines wissens die IP wie sonst sollen denn die anderen Rechner diesen finden wenn sie was Drucken sollen ?

Warum der Ricoh.nicht auftaucht ist eine gute frage aber vielleicht deshalb weill er nicht als Standart Drucker definiert ist und bis dato deswegen nicht aktiv wurde . Aus dem Netzwek angesteuert meine ich .

Aber man kann das ja feststellen die HP einträge sollten immer dann auftauchen wenn er benutzt wird im Netzwerk meine ich .

MfG

BOOTLEG

 

[DerGrosseBaer]

AW: Einbruch

BOOTLEG, Du hast ins Schwarze getroffen!

Da ich neu in der Firma bin, und wir alle nur über den PC einer Kollegin auf den HP-Drucker drucken, dachte ich, der wäre ein ganz normaler Arbeitsplatz-Drucker.

Aber ich hab gerade nachgesehen und Kabel verfolgt und bin tatsächlich bei einem Netzwerkanschluß geladet. PROBLEM GELÖST!

Ich kann euch sagen, ich bin erleichtert.

 

[Rain_Maker]

AW: (Gelöst) Einbruch ins LAN? Ungewöhnliche DHCP Anfragen

Dann bleibt mir nur noch Folgendes:

1. BOOTLEG zu seiner guten Spürnase zu gratulieren

und

2. -ebenfalls erleichtert- hier das Licht auszumachen.

=> Closed.

Greetz,

RM

Nachtrag:

Da ich gerade sehe, daß BOOTLEG noch eine Antwort schreibt, lasse ich mal noch offen.

Nachtrag die 2. So, nu aber

Sollte hier doch noch weiterer Diskussionsbedarf bestehen, dann bitte PN an mich.

 

[BOOTLEG]

AW: (Gelöst) Einbruch ins LAN? Ungewöhnliche DHCP Anfragen

Dann hast du Glück gehabt das es ein Separates Anschluß Kabel gibt das ist aber meines wissen nicht unbedingt nötig . Weil mann jeden Drucker unter XP im Netzwerk als Netzwerkdrucker freigenkann dann kann man aber dann auch in den XP Einstellungen nachvollziehen .

MfG

BOOTLEG