2
Debian für ARP auf falschem Interface empfänglich?
Moin,
ich habe eine kleine Anomalie bei meinem Debian-Server festgestellt. Dieser hat 2 Netzwerk-Karten.
Um die Situation verständlich zu beschreiben, folgender Versuchsaufbau:
LAN1: 192.168.1.100/24, LAN2: 192.168.2.100/24
Kein Gateway, kein nix.
IPv4-Forwarding ist aus.
Beide Interfaces sind physisch nicht miteinander verbunden, müssen aber up sein.
Sofern ich mich nun direkt mit LAN1 (via Ethernet-Kabel) verbinde und dort versuche die IP aus LAN2 anzupingen funktioniert dies logischerweise nicht, allerdings zeigt mir Wireshark, dass es via ARP die MAC-Adresse des Adapters auflösen kann. In meiner ARP-Tabelle steht dann auch der Eintrag drin.
Zwar funktioniert keinerlei Kommunikation mit dem Interface, da es ja die falsche IP-Adresse ist, jedoch wundert es mich, dass es sich via ARP meldet. Bei meinem OpenWRT-Router tritt das nicht auf, weswegen mich das schon ein wenig wundert.
Eine Sicherheitslücke an sich stellt das nicht dar, allerdings kann ich z.B. mit der App Fing, welche eine Auflistung aller Netzwerkgeräte vornimmt "IP-Adressen von einem Gerät auf anderen Adaptern" finden. So beispielsweise passiert mit einer Sophos-UTM, scheint also nicht nur Debian zu betreffen...
Ist dies bekannt / kann man das abschalten?
ich habe eine kleine Anomalie bei meinem Debian-Server festgestellt. Dieser hat 2 Netzwerk-Karten.
Um die Situation verständlich zu beschreiben, folgender Versuchsaufbau:
LAN1: 192.168.1.100/24, LAN2: 192.168.2.100/24
Kein Gateway, kein nix.
IPv4-Forwarding ist aus.
Beide Interfaces sind physisch nicht miteinander verbunden, müssen aber up sein.
Sofern ich mich nun direkt mit LAN1 (via Ethernet-Kabel) verbinde und dort versuche die IP aus LAN2 anzupingen funktioniert dies logischerweise nicht, allerdings zeigt mir Wireshark, dass es via ARP die MAC-Adresse des Adapters auflösen kann. In meiner ARP-Tabelle steht dann auch der Eintrag drin.
Zwar funktioniert keinerlei Kommunikation mit dem Interface, da es ja die falsche IP-Adresse ist, jedoch wundert es mich, dass es sich via ARP meldet. Bei meinem OpenWRT-Router tritt das nicht auf, weswegen mich das schon ein wenig wundert.
Eine Sicherheitslücke an sich stellt das nicht dar, allerdings kann ich z.B. mit der App Fing, welche eine Auflistung aller Netzwerkgeräte vornimmt "IP-Adressen von einem Gerät auf anderen Adaptern" finden. So beispielsweise passiert mit einer Sophos-UTM, scheint also nicht nur Debian zu betreffen...
Ist dies bekannt / kann man das abschalten?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 365014
Url: https://administrator.de/contentid/365014
Printed on: April 28, 2024 at 18:04 o'clock
2 Comments
Latest comment
Hi BinaryBear,
soweit ich das gerade beurteilen kann bist du gerade ins default host model von Debian gelaufen.
Im TCP/IP network stack gibt es einmal das weak host model und das strong host model welches deine Anomalie zulässt oder eben filtert
Lektüre dazu:
https://en.m.wikipedia.org/wiki/Host_model
Und ja kannst du abschalten, in dem du arp filter aktivierst und auf das strong model wechselst.
Falls genauere Infos gewünscht nochmal melden
Grüße
soweit ich das gerade beurteilen kann bist du gerade ins default host model von Debian gelaufen.
Im TCP/IP network stack gibt es einmal das weak host model und das strong host model welches deine Anomalie zulässt oder eben filtert
Lektüre dazu:
https://en.m.wikipedia.org/wiki/Host_model
Und ja kannst du abschalten, in dem du arp filter aktivierst und auf das strong model wechselst.
Falls genauere Infos gewünscht nochmal melden
Grüße
Jop, genau das habe ich gesucht!
Danke!
Ein wenig Suchen unter "Host Modell" hat dann auch die passende Anleitung für Debian hervorgebracht: https://unix.stackexchange.com/questions/258810/linux-source-routing-str ...
Eine Sicherheitslücke als solche scheint das "Weak Host Model" ja nicht darzustellen, sonst würden ja bekannte Systeme wie Debian und Sophos UTM 9 ja nicht auf eine solche Einstellung setzen ... Ist auf jeden Fall beruhigend, dass es kein "Fehler" in meiner Konfiguration war.
Ich hab's jetzt einfach mit den Folgenden Einträgen in der sysctl.conf eingeschaltet:
bin mal gespannt, ob das System damit auch weiterhin stabil läuft, besonders auf die Tatsache hin, dass dort ein VirtualBox-Server mit bridged-NICs drauf läuft...
Danke!
Ein wenig Suchen unter "Host Modell" hat dann auch die passende Anleitung für Debian hervorgebracht: https://unix.stackexchange.com/questions/258810/linux-source-routing-str ...
Eine Sicherheitslücke als solche scheint das "Weak Host Model" ja nicht darzustellen, sonst würden ja bekannte Systeme wie Debian und Sophos UTM 9 ja nicht auf eine solche Einstellung setzen ... Ist auf jeden Fall beruhigend, dass es kein "Fehler" in meiner Konfiguration war.
Ich hab's jetzt einfach mit den Folgenden Einträgen in der sysctl.conf eingeschaltet:
net.ipv4.conf.all.arp_filter=1
net.ipv4.conf.all.arp_ignore=1 # or even 2
net.ipv4.conf.all.arp_announce=2bin mal gespannt, ob das System damit auch weiterhin stabil läuft, besonders auf die Tatsache hin, dass dort ein VirtualBox-Server mit bridged-NICs drauf läuft...
