Ingress Filter bei Unifi

  • Servus Community,

    ich bin eher zufällig auf einen Angriffsvektor gegen Switchports gestoßen, wo es wohl möglich sein soll, Traffic unbefugt an Ports zu senden, an denen das sendende Endgerät gar nicht hängt. Hierzu wird, wenn ich es richtig verstehe, ausgenutzt, dass getaggte Pakete switchintern unter bestimmten Umständen an andere Ports weitergeleitet werden könnten. Absolut keine Neuigkeit das Thema, aber ich hatte davon noch nie gehört.

    Abhilfe gegen diesen Angriffsvektor sollen "Ingress Filter" bieten. Darüber finde ich von offizieller Seite aber nur alte Beiträge und wenig Konkretes. Weiß jemand, ob diese Filter auf aktuellen Unifi Switches konfigurierbar sind? Vielleicht sogar pauschal aktiv? Oder ist das ganze Thema möglicherweise überhaupt kein echtes Problem (mehr)?

  • dass getaggte Pakete switchintern unter bestimmten Umständen an andere Ports weitergeleitet werden könnten

    Klingt nach den guten alten MAC Flooding. Ein "USW-16-POE" hat z.B platz für 8000 mac Adressen, ein Pro XG 48 Platz für 128000. Wenn diese SAT (Source-Address-Table) Tabelle voll ist, fällt der Switch in den HUB Mode. Bei den ALLE Port das Paket ausliefern (was ein Switch auch in normalen Mode macht wenn die Ziel MAC noch nicht gelernt wurde).

    Es wird aber nicht passieren das du plötzlich VLAN Traffic auf einen nicht für das VLAN Konfigurierten Port siehst.
    Sprich wenn du VLAN 100 auf Port 1 hast aber nicht auf Port 2 (egal ob as Tagged oder untagged) wird du an Port 2 den den Traffic
    nicht bekommen.

    Bei der Typischen "unifi Ports sind erstmal Trunks" ist das natürlich Arsch.
    WOBEI je nach dem wie "gut" UI ihre Switch engine gebaut hat das fast keine Relevanz hat weil ggf. für bekannte
    also schon gelernte MACs weiterhin das Packet "geswitcht" wird und nur für unbekannte MAC und nicht lernbare MACs
    das port flooding zum Einstaz kommt

    Keine Ahnung was Unifi da vorsieht, die Kisten für Viel mehr Geld machen das so und na ja bringen Optionen mit
    im flooding zu verhindern (Begrenzung der MACs Pro Port, nicht mehr als X Mac pro Sekunde, Port Schutdown, Trap ans Monitoring usw.)
    Port Security also 802.1x währe auch ein mittel dafür.

    Und damit fängt es dann an, wo man ganze Bücher über L2 Topologie schreiben kann...

    +

    Dazu das ist alles L2, damit also "intern" von außen musst du also erstmal dich in den Router Hacken, dort deine tools drauf bekomme
    und das den internen Port mit Fakes Mac "mürbe" machen.. Macht kein sinn wenn man schon auf dem Router ist..

  • Danke für die Erklärungen! Dass Switches bei neuen, bislang unbekannten Geräten flooden müssen, ist klar. Auch, dass es bei meinem Szenario nur um einen Angriff von innen heraus gehen kann, logisch.

    Ich würde dann erstmal davon ausgehen, dass diese Bedrohung keine praktische Relevanz hat. Ist vielleicht ohnehin ein unwahrscheinliches Szenario, aber je mehr weiß, desto souveräner reagiert man ja bei allen Eventualitäten. :)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!