1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 09, 2025 11:28

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 16 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Ilya_87
СообщениеДобавлено: Вс мар 07, 2010 17:03 
Не в сети

Зарегистрирован: Вт янв 05, 2010 18:28
Сообщений: 15
Доброго времени суток.
Существует следующая проблема.
Есть много 3526 (Firmware: Build 5.01.B52).
на нем прописаны правила на блокирование портов 137-139, 445(TCP).
С недавнего времени сетевые экраны, и сервер начали фиксировать атаки на 445 порт (TCP).Лезет вот это FIntrusion.Win.NETAPI.buffer-overflow.exploit.

Все фильтры проверены на стендах. Имитировались все ситуации подключения (воткнутый в него 3028, 1008D). Везде фильтры отрабатывают (не пробовал только тестовый ноут этой заразой заражать). Так же пробовал опцию NetBIOS Filtering просто и Extensive NetBIOS Filtering. Не помогает, продолжает лезть.
Все оборудование на идентичных прошивках с одинаковыми правилами и настройками.
Может кто то сталкивался с подобной проблемой.
Вот что отвечает за фильтрацию:
create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 7
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-26 deny

При необходимости могу выложить полный конфиг.
Заранее спасибо.

_________________
новичек
Вернуться наверх
 Профиль  
 
maxfs
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 08, 2010 11:10 
Не в сети

Зарегистрирован: Ср окт 20, 2004 19:17
Сообщений: 209
Откуда: Kharkiv
Тоже заметил две проблемы на DES-3526:
прошивка: 6.00B28
1) включен фильтр
config filter netbios 1-24 state enable
при этом еще включено IPMB ACL и dhcp_local_relay.
Свич пропускает udp пакеты 137,138 порты не фильтруя их.
2) плюс еще момент, когда приходит ответ от dhcp_relay в формате 255.255.255.255 он рассылается во все порты, ф-ия dhcp_local_relay не отрабатыает.
Похожая проблема присутствует на 3028 свиче.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 09, 2010 16:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Ilya_87
А нет ли у Вас возможности снять сниф такого трафика?

maxfs
1. Я проверю

2. Как это от dhcp релея идёт пакет на 255.255.255.255? Он же юникастом идти должен.
Вернуться наверх
 Профиль  
 
maxfs
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 09, 2010 21:17 
Не в сети

Зарегистрирован: Ср окт 20, 2004 19:17
Сообщений: 209
Откуда: Kharkiv
Alexandr Zaitsev писал(а):
2. Как это от dhcp релея идёт пакет на 255.255.255.255? Он же юникастом идти должен.



клиент -> запрос 255.255.255.255 -> relay -> unicast -> dhcp server
dhcp server - > unicat -> relay -> 255.255.255.255 -> клиент

Проблема только в том, что при ответе релея к клиенту 255.255.255.255 попадает к другим коммутаторам и ф-ия dhcp_local_relay его не фильтрует. Мне почему-то кажетс, ответ должен отправляться в тот порт, с которого он пришел, а не во все порты. А так получается из-за этого ответа получаем еще запрос * кол-во коммутаторов и ф-ия dhcp_local_relay тут не помогает.
Вернуться наверх
 Профиль  
 
Ilya_87
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 11, 2010 09:29 
Не в сети

Зарегистрирован: Вт янв 05, 2010 18:28
Сообщений: 15
Alexandr Zaitsev

В ближайшее время постараюсь сделать сниф.

_________________
новичек
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 11, 2010 11:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
maxfs

1. Таков дизайн устройства, UDP он действительно не блокирует.
2. Какой у Вас DHCP сервер и что используется в качестве релея? Я не могу воспроизвести ситуацию, ответы от релея к клиенту идут юникастом.
Вернуться наверх
 Профиль  
 
Ilya_87
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 11, 2010 12:12 
Не в сети

Зарегистрирован: Вт янв 05, 2010 18:28
Сообщений: 15
Alexandr Zaitsev

Куда лучше выложить или отправить сниф?

_________________
новичек
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 11, 2010 12:15 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Большой получился?
Можно мне на почту.
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 11, 2010 12:19 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Alexandr Zaitsev писал(а):
maxfs

1. Таков дизайн устройства, UDP он действительно не блокирует.


Alexandr Zaitsev! Поясните пожалуйста:
0. для каких прошивок это действительно?
(если присутствует в текущих прошивках, то 1 и 2)
1. какие пакеты UDP нельзя заблокировать АЦЛ-ом из 1-го поста?
2. каким АЦЛ-ом их можно заблокировать?

_________________
не важно, из какого места растут золотые руки


Последний раз редактировалось GreatFoolDad Чт мар 11, 2010 15:22, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Ilya_87
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 11, 2010 12:45 
Не в сети

Зарегистрирован: Вт янв 05, 2010 18:28
Сообщений: 15
Alexandr Zaitsev
Нет, там 4 пакета, дальше каспер блокирует. (Запускать сервак без каспера нет желания). Принцип работы такой, размер пакета меняется. Source порт тоже постоянно изменяется, перебором. Destination порт 445.

_________________
новичек
Вернуться наверх
 Профиль  
 
Ilya_87
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 11, 2010 13:35 
Не в сети

Зарегистрирован: Вт янв 05, 2010 18:28
Сообщений: 15
Alexandr Zaitsev

Выслал вам на почту

_________________
новичек
Вернуться наверх
 Профиль  
 
maxfs
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 12, 2010 14:57 
Не в сети

Зарегистрирован: Ср окт 20, 2004 19:17
Сообщений: 209
Откуда: Kharkiv
Alexandr Zaitsev писал(а):
maxfs

1. Таков дизайн устройства, UDP он действительно не блокирует.
2. Какой у Вас DHCP сервер и что используется в качестве релея? Я не могу воспроизвести ситуацию, ответы от релея к клиенту идут юникастом.


DHCP сервер ISC-DHCPD
в качестве релея используется DES-3526
Вернуться наверх
 Профиль  
 
optimous
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 14, 2010 00:31 
Не в сети

Зарегистрирован: Ср окт 14, 2009 21:59
Сообщений: 67
Откуда: КМА
Alexandr Zaitsev писал(а):
maxfs

1. Таков дизайн устройства, UDP он действительно не блокирует.

Прикольно...
дес3526, 6.00.b32
Вот кусок конфига
Код:
Command: show access_profile profile_id 3

Access Profile Table

Access Profile ID : 3                                      Type : Packet Content
================================================================================
Owner    : NetBIOS_filter
Masks    :

Offset 32-47 : 0x00000000 0000ffff 00000000 00000000

Access ID: 1              Mode: Deny
Owner    : NETBIOS_filter
Port     : 1
----------------------------------------------------
Offset 32-47 : 0x00000000 00000089 00000000 00000000

По вашему он не заблокирует 137 порт?
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 15, 2010 17:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Посмотрел, проверил.

Netbios filtering фильтрует пакеты на основе source порта. Т.е. если у пакета исходящий порт всегда меняется, а порт назначения - 445, то такие пакеты отфильтрованы не будут.
Вернуться наверх
 Профиль  
 
gorbushka
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 15, 2010 17:52 
Не в сети

Зарегистрирован: Пн май 21, 2007 11:33
Сообщений: 55
Alexandr Zaitsev писал(а):
Посмотрел, проверил.

Netbios filtering фильтрует пакеты на основе source порта. Т.е. если у пакета исходящий порт всегда меняется, а порт назначения - 445, то такие пакеты отфильтрованы не будут.

таким образом, лучше их не использовать, а написать свои?:)
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 16 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 9

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB