Неизвестное устройство забивает канал DHCP, как его найти?

Question

[Дмитрий]

Доброго времени суток!

Ситуация такая, что раз в три месяца на нашей корпоративной сети происходит апокалипсис, неизвестное устройство начинает сыпать конектами через WI-FI и в логах мак устройства выглядит так: 0.0.0.0.0 , сыпет до такого уровня, что все IP-адресса заняты и коллегам ничего не остаетсся кроме как ждать пока освбодиться ip и то если снова не займет его. Используется UniFi и одна точка раздает гостевой и рабочий WI-FI с разными пасами в 2.5Ghz и 5Ghz. После чистки и смены пароля проблема уходит на какое-то время. Может есть какие мысли?

Comments

[nApoBo3]

Это как? Что значит сыпать коннектами, сыпать попытками подключения? Тогда при чем тут ip адреса? Или сыпать успешными подключениями? Тогда вам должен быть известен итоговый мак, ip выдаётся на него. Или девайс постоянно переподключается и меняет мак при каждом подключении?
Если бы мне нужно было физически найти непонятный wifi девайс, я бы лимитировал маки на точке, создал ещё одну "мобильную точку" на которой разрешил бы только целевой мак и поставил бы те же настройки, и стал бы ходить по зданию измеряя уровень сигнала.

[Дмитрий]

nApoBo3,

Вот так

[mureevms]

1. Почему бы не увеличить количество адресов в подсети, возможно /23 подсеть будет больше, чем количество адресов, занимаемых сбоем.
2. Попробуйте для этого проблемного MAC адреса сделать резервирование адреса, чтобы он занимал только один конкретный IP. Или же добавьте его в черный список на получение.

[nApoBo3]

Дмитрий, достаточно странно, хотя такие сетевушки и попадались лет 10 назад, но в wifi такого никогда не видел.
Вопрос почему dhcp выдает новый ip на тот же мак, посмотри логи, а еще лучше дамп трафика.
Можно сделать резерв для данного мака и по идее проблему занятых ip это решит. Но не решит проблему, что у вас левое устройство в сети.
Я бы в данном случае вопервых поискал устройство по методу который описал выше.
Плюс переработал аутентификацию.
Можно использовать radius. В нем у вас у каждого пользователя или девайса свой "аутентификатор", вы сможете понять кто стоит за данным маком.
Есть еще вариант без radius сервера, но не знаю есть ли он в UniFi, в микротике точно есть.
Можно каждому маку задать свой персональный пароль через access list. Или как вариант отделить данный мак в отдельный vlan и никуда его не пускать.
Ну и самое простое, это просто ограничить подключение конкретным списком маков.

Answer 1

[Руслан Федосеев]

увести вифи в отдельный сегмент для начала? изменить авторизацию на радиус?

Comments

[Дмитрий]

Дело в том, что в нашем здании на других этажах другие компании есть. Думали над схемой отключать точки частично, но так как такая ситуация повторяется раз в 3-5 месяцев то поймать таким образом практически нереально

[Дмитрий]

У работников есть свои ПК, но особо "понтовые" приносят свои макбуки и тут с ними начинаются танцы с бубнами, потому что там только беспроводное.

[Руслан Федосеев]

ну или вы наводите порядок в сети, или дальше ищете непонятно что....

Answer 2

[Александр]

Белый список МАК адресов надо делать. Плюс комутаторы L2 чтобы умели показывать список мак адресов на порту.
Ставишь белый список, состовляешь реестр подключаемого оборудования. Вычисляешь зловреда - и составляешь акт о вмешательстве в корпоративную сеть. И начальнику службы ИБ на стол.

Нужно подойти в плане "Информационной безопасности" - возможно оно случалось не раз в месяц а в момент проведения крупной сделки, подачи заявок на тендер и прочих важных событий компании. Отказ в работе сети был вызван намеренно, так как в стандартном программном обеспечении не возможен спам DHCP запросами. Возможно в вашей сети где то есть "закладка", которая активируется злоумышленниками и ложит вам сеть. Нужно изучить когда это случалось что делали сотрудники.

Возможно был взломан гостевой Wi-Fi из за его неполной изоляции от основной сети.

Answer 3

[xjam]

Да, беспроводную сеть от проводной нужно отделять, тут без вариантов. А так, попробуйте либо заблокировать mac, либо подвязать его к определенному ip. Можно также уменьшить время аренды ip-адреса.

Comments

[Дмитрий]

как подвязать под ип если устройство не авторизируется?

[xjam]

Немного неправильно выразился, либо чего-то в Вашей ситуации недопонимаю. Я так понял, устройство с маком 00:00:00.... - адреса получает (забивает dhcp пул), зарезервируйте адреc. На cisco dhcp выглядит как-то так
Ip dhcp pool xxx
host 10.0.0.100 255.255.255.0
client-identifier 0000.0000.0000.00 или hardware-address 0000.0000.0000
lease 0 0 10
Поставьте адрес на мониторинг zabbix, nagios, как устройство появиться, будете искать злодея.

[xjam]

Хотя, тут посмотрел, не всегда сетевое оборудование может корректно отработать действие на источник с нулевым маком. Да и само, неисправное сетевое, может генерировать такие пакеты.

Answer 4

[3a4yI7aTiY]

Время реанды 02:00:00
В DHCP add arp for leases галку поставить,
Гостевой вай-фай в отдельный влан