D-Link • Просмотр темы - Вирус в сети mx.content-type.cn

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Вирус в сети mx.content-type.cn

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 3 из 7

[ Сообщений: 98 ]

На страницу Пред. 1, 2, 3, 4, 5, 6, 7 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Akor

Заголовок сообщения:

Добавлено: Пн июл 28, 2008 20:45

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

Похоже что справились со спуфингом.
Настроил как говорили.
Прописал на пользовательских портах MAC-IP Binding в режиме ACL с включенной функцией Strict.
Как только появилсь зараженная машина в сети, все сразу перестали видеть интерент шлюз.
Настроил ARP Spoofing Prevention с указанием MAC-IP интернет шлюза.
Перезагрузил коммутаторы.
Тепреь все ОК.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт июл 29, 2008 01:10

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Рад слышать!

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Вс авг 03, 2008 22:10

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

Вчера опять все повторилось.
Пришлось выключить ARP Spoofing Prevention чтоб найти зараженную машину.
Опять отключил пользователя

Скорей бы новый рализ с полностью рабочей функцией ARP Spoofing Prevention.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс авг 03, 2008 22:17

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390 во второй половине дня или укажите в личку ваш телефон.

Вернуться наверх

Delfin_m

Заголовок сообщения:

Добавлено: Ср сен 10, 2008 00:26

Зарегистрирован: Пн июл 21, 2008 15:33
Сообщений: 39

Уже сентябрь, релиз появился?

уже запарился отключать юзеров с вирусом...

Вернуться наверх

SerjVarshavskiy

Заголовок сообщения:

Добавлено: Ср сен 10, 2008 06:15

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95

тоже очень ждем прошивку, что-то долго такую... закрывают ((

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср сен 10, 2008 21:48

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Будет не нервничайте. Я думаю к концу сентябре - начале октября должна выйти.

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Сб ноя 15, 2008 10:57

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

Поставил прошвку 5.01.B52. В ARP Spoofing Prevention Setting прописал MAC и IP шлюза, на портах юзверей в IP-MAC Binding поставил режм стрикт.
Результат не очень, точнее совсем плохой.
При появлении спуфящей машины сначала все идет хорошо, но через некоторое время вся сеть перестает видеть шлюз, кроме машин воткнутых в центральный оммутатор DGS-3024, на котором никакого ARP Spoofing Prevention и в помине нет.

И чтоб вернуть сеть в рабочее состояние приходиться либо перезагрузить все свитчи, но потом опять картина повторяется. Либо удалять из ARP Spoofing Prevention Setting настройки MAC-IP шлюза. После чего все начинает работать нормально .

В результате пришлось отказаться от ARP Spoofing Prevention и постаринке отключать спуфящие машины.

Може я что не так делал?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб ноя 15, 2008 23:33

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

И всё-таки если просто выставлять режим strict при настройки IMP на порту не помогает?

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 09:48

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

Не помогает.
в логах сотни записей, пишет Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.200, MAC: 00-E0-4C-BF-18-58, port: 3)
где 192.168.0.200 адрес шлюза, а MAC злой машины.
Зато можно не отключая порта, удалив IP-MAC отключить спуфящую машину и она ниакак не будет влиять на работу сети.

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 12:36

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Лучше напиши два профиля в acl на запрет с клиентских портов MAC-IP шлюза по arp и по ip протоколам, и забудь о подменах адресов шлюзов.
IMB - это только полумера, работающая по одному из протоколов.

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Пн ноя 17, 2008 11:42

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Daniil-B писал(а):

Я бы даже сказал, что лучше идти от обратного - прописать через ACL запрет всех ARP-пакетов, и явно разрешать на порту только ARP-пакеты с клиентским атрибутами (IP, можно вместе с MAC).

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Пн ноя 17, 2008 12:37

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

А я скажу ешо больше ....
последним правилом запретить ваще всё:

Код:

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port [all_client_ports] deny 

А дальше только разрешать по ip+arp протоколам.
MAC-IP связку или только IP - на усмотрение.

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Пн ноя 17, 2008 16:48

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

По подробней пример не можите написать со всеми нужными правилами.
А то по форуму разбросаны кусочки разных вариантов.

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Пн ноя 17, 2008 16:52

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Дир мне тут в Аську написал практически готовый вариант, т.к. мне писать лень выкладываю его творение.

Код:

Для ip 10.11.12.13 на порту 3:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 profile_id 250
config access_profile profile_id 250 add access_id auto_assign packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0B0C0D  0x0 0x0 0x0 port 3 permit

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id auto_assign ip source_ip 10.11.12.13 port 3 permit

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x00000000 0x0 profile_id 254
config access_profile profile_id 254 add access_id 254 packet_content offset_16-31 0x08060000 0x0 0x00020000 0x0 port 1-4 deny

create access_profile ip source_ip_mask 000.000.000.000 profile_id 255
config access_profile profile_id 255 add access_id 255 ip source_ip 000.000.000.000 port 1-4 deny

+ к этому советую добавить port_security

Вернуться наверх

Страница 3 из 7

[ Сообщений: 98 ]

На страницу Пред. 1, 2, 3, 4, 5, 6, 7 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 51

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения