Ip privati esposti su FWA

SimoneMk

Ciao a tutti.
Sarò breve, spero.
I fatti: un giorno mi accorgo di uscire con un IP che non era il mio.
Dopo qualche verifica mi accorgo che avevo inavvertitamente configurato il DHCP client sull'interfaccia WAN del mikrotik. Quindi il router acquisiva sia l'IP corretto della connessione PPPoE, ma anche un secondo IP privato, il quale veniva assegnato anch'esso all'interfaccia WAN (l'ethX del router).
Veniva quindi aggiunta una seconda rotta 0.0.0.0, la quale prendeva il sopravvento sulla PPPoE; conseguenza di ciò il mio traffico veniva instradato chissà dove, per poi uscire con un evidente diverso IP, non certo il mio, ma quello di un altro cliente...

Con una scansione IP sull'interfaccia "wan" della sottorete appartenente alla stessa classe del'IP secondario, rilevavo una serie di altrattenti indirizzi IP, raggiungibili anche tramite web. Stampanti, telefoni IP, computer etc, tutti configurati con indirizzamento privato, ma esposti sulla rete FWA di Eolo, tra antenna cliente e BTS.

Immagino che possa trattarsi di una configurazione errata di tal cliente, il quale ha configurato il DHCP server di utilizzare anche l'interfaccia WAN.

Quel che mi chiedo è: sempre che la spiegazione che mi son dato abbia senso, è possibile che EOLO non configuri una sort di "client isolation" in modo da salvaguardare i clienti a fronte di tali malconfigurazioni??

Quesito nr2: è possibile che a livello di ISP non vengano filtrati i pacchetti DHCP dei clienti per evitare che situazioni del genere possano verificarsi?

L4ky

SimoneMk
Si, purtroppo la rete EOLO è una grande L2 a livello di BTS ( e relative BTS in cascata ).

Mi è successa la stessa identica cosa. Un cliente EOLO sulla mia stessa BTS aveva la sua intera LAN esposta, con tanto di DHCP Server che rilasciava IP e volendo inoltrava il traffico sulla loro connettività.
In quel caso era un'azienda un po' sensibile (diciamo che forniva servizi gestiti alla PA), per cui ho segnalato al CSIRT. Il giorno dopo la segnalazione ho ricevuto una telefonata da Roma per chiarimenti. Hanno poi provveduto a segnalare a EOLO che a sua volta informava il cliente.
Dopo circa un mesetto questa azienda ha risolto.

A mio parere il problema è sia da parte di EOLO sia di gente sprovveduta che non è capace a configurare gli apparati. In casi come questi non si parla di router consumer ma di qualcosa più "professionale" che richiede competenze e configurazioni manuali sotto molti aspetti, in primis il Firewall.

Se riesci a farti un'idea di chi sia questo utente sarebbe carino segnalare il problema.

SimoneMk

L4ky

E proprio di una PA si tratta! Oltretutto con dei dati sensibili esposti, apparati di rete con credenziali admin/password etc.. Non ci si stupisce più di nulla.
Un errore può capitare a tutti, però qui siamo a livelli veramente bassi.
Non servono gli hacker "col cappuccio" dell'immaginario collettivo; qui un qualsiasi smanettone ha ampi margini di manovra per far danni e quant'altro.

Da una parte ci sono tante aziende sensibili alle problematiche di cybersecurity, ove però la maggiorparte delle volte la sensibilità è esclusività del responsabile IT.
Ma per le amministrazioni pubbliche ci dovrebbe essere una regia a livello nazionale, non è concepibile che si lasci la materia, estremamente sensibile, al tecnico "ammiocuggino" di turno.

Mi chiedo, a solo titolo di curiosità, se il lato L2 del fornitore di connettività potrebbe essere rafforzato per evitare questo genere di problematiche oppure sarà una modalità fisiologica necessaria per il corretto funzionamento della rete? Purtroppo non conosco bene il lato "carrier", quindi non sono in grado di rispondere.

Grazie per la condivisione

Technetium

L4ky Se riesci a farti un'idea di chi sia questo utente sarebbe carino segnalare il problema.

Se è così... puoi proprio mandagli in stampa un bel documento per dirgli di configurare la rete come si deve.
L'ho fatto qualche volta con i vicini che aprivano a caso la rete wifi 😂 (Anche se non si dovrebbe fare)

Hadx
Da molti anni.
Che sono poi board con cpu x86 con router software. Probabilmente non lo fanno per non aumentare il carico.

x_term

SimoneMk Mi chiedo, a solo titolo di curiosità, se il lato L2 del fornitore di connettività potrebbe essere rafforzato per evitare questo genere di problematiche oppure sarà una modalità fisiologica necessaria per il corretto funzionamento della rete? Purtroppo non conosco bene il lato "carrier", quindi non sono in grado di rispondere.

No si potrebbe e dovrebbe in teoria impedire che si vedano i client sulle stesse radio, si fa sul cablato e in teoria anche su altre FWA, ma questo è un problemino che Eolo ha da praticamente sempre...

L4ky

SimoneMk E proprio di una PA si tratta!

Questo è grave. Io segnalerei immediatamente.

danny20091989

Se non erro in torre EOLO ha apparati Mikrotik
Basterebbe attivare l'Horizon sulle interfacce di Bridge oppure una banalissima regola di filters/forward sul bridge che autorizzi solo PADO/PADI (PPPoE) sulle interfacce membre del bridge

Hadx

danny20091989 Sulle BTS da qualche anno dovrebbero usare degli apparati custom che chiamano blu router

LSan83

danny20091989 Se non erro in torre EOLO ha apparati Mikrotik
Basterebbe attivare l'Horizon sulle interfacce di Bridge oppure una banalissima regola di filters/forward sul bridge che autorizzi solo PADO/PADI (PPPoE) sulle interfacce membre del bridge

La BTS Eolo a cui mi collego, finché non finisco di configurare il router, mi mostra diversi altri dispositivi di un operatore locale che opera anche tramite Eolo oltre che con sua rete fwa proprietaria (e questo operatore usa solo Mikrotik, anche nelle case dei clienti).

SimoneMk

danny20091989
Appurato che Eolo non ha apparati Mikrotik bensì i loro custom, volevo approfondire la questione dell'horizon.
Se ricordo bene tale opzione è pensata per configurazioni particolari, e comunque per prevenire i "bridging loops".
Si dovrebbero inpostare dei valori uguali nelle diverse porte del bridge per impedire l'uscita dei frame. Però nel caso di un access point radio l'unica porta usata dai client sarebbe quella wifi, e quindi faccio fatica a pensare una configurazione corretta per l'horizon.

Non sarebbe più semplice impostare delle regole di filtering a livello bridge (nota: non ho mai provato) ??
Ciao

danny20091989

SimoneMk
Ciao Simone, ti assicuro che EOLO comunque in rete ha parecchia roba MT
Hanno il quadro rack @MIX dietro di noi e ci sono SOLO CCR1016 della MT

Detto questo, horizon ti consente di isolare le porte che fanno parte di un bridge
Le porte con lo stesso valore non possono comunicare in L2 tra loro ma possono comunicare con porte del bridge con valore Horizon diverso. Mi spiego meglio, supponendo di avere un bridge con:

eth1 > horizon 10
eth2 > horizon 10
eth3 > horizon 11

Eth1 ed Eth2 non possono vedersi tra loro ma il traffico verso eth3 funziona

Quando usavamo MT nei nostri BRAS (non li usiamo più da tempo) avevamo le cvlan cliente in bridge isolate tra loro con Horizon e, nei filtri bridge autorizzavamo solo PADO/PADI in modo da non far entrare nella nostra rete eventuali DHCP sulle WAN delle CPE cliente..

Non so perchè un operatore come EOLO non setti queste semplici regole sui loro apparati...

r00t

Technetium ti ricordo che siamo in Italia; è un attimo che il tuo gesto altruistico (informare della vulnerabità) diventi passibile di denuncia per accesso abusivo a rete informatica. E visto che anche il caso dell'OP è una PA, è un attimo trovare dall'altra parte qualcuno (inadeguato) che, per giustificare lo smacco, gira la frittata e dice che la rete é stata violata "da un hacker" e fa denuncia alla PP.

Se per responsabilità si vuole segnalare, credo che l'iter seguito da @L4ky sia preferibile.

Technetium

r00t
Lo so... per questo ho scritto che non è da fare.

Navigator

So di essere molto OT, ma questo è un po' il motivo per cui sono un po' intimorito dall'abilitare l'IPV6 sulla rete WINDTRE su una FWA con SIM Mobile, chi mi garantisce che la loro configurazione sia perfetta e non metta a rischio i vari dispositivi?

Sto cercando di studiare e fare qualche esperimento per capire se la rete è ben protetta.

Certo che questa storia di Eolo fa rabbrividire...

Technetium

Navigator
Guarda che i primi a sbagliare sono quelli che non si sono configurati per bene il loro router.
Quindi assicurati di configurare a dovere il tuo router/firewall e sei a posto.

Poi non si è mai capito perchè eolo non faccia client isolation a livello di BTS... ma quello è un'altro discorso perchè anche se lo facesse, potresti essere attaccato dall'esterno... quindi da internet.

Un server DHCP che risponde sulla wan è un disastro... devi aver toppato l'impostazione dell'interfaccia del DHCP e come è impostato il firewall.

mag00

Discussione molto interessante: avete altre curiosità o esperienze sulla rete Eolo?
Da loro utente è da un po’ che mi chiedo come funziona l impacchettamento dei pacchetti tra CPE e BTS… cioè, perché io non posso vedere altre CPE?

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile