D-Link • Просмотр темы - Вирус в сети mx.content-type.cn

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Вирус в сети mx.content-type.cn

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 6 из 7

[ Сообщений: 98 ]

На страницу Пред. 1 ... 3, 4, 5, 6, 7 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Demin Ivan

Заголовок сообщения:

Добавлено: Чт ноя 20, 2008 15:21

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

В этом плане это к сожалению аппаратное ограничение.

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Чт ноя 20, 2008 15:24

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Dyr

Цитата:

Кстати, в 3550 версии B54 какая-то странная бага - если клиент шлёт DHCPREQUEST серверу при обновлении своего адреса, то на сервер этот запрос (ip юникастом, ethernet бродкастом) приходит без Options 82. Shocked

Не могу подтвердить.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Чт ноя 20, 2008 15:31

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Demin Ivan писал(а):

В этом плане это к сожалению аппаратное ограничение.

я так и понял, но перестройка думаю спасет 3550

_________________
с уважением, БП

Вернуться наверх

kapa

Заголовок сообщения:

Добавлено: Чт ноя 20, 2008 18:44

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва

snark писал(а):

kapa писал(а):

о Вашем последнем

там разрешается ARP со строго определенного IP адреса ... получается такая 2-я проверка - сначала разрешаем только ARP с конкретного адреса, а потом разрешается сам адрес, т.е. если адрес верный, а в ARP пакете указан иной адрес нежели тот который разрешен, то ARP пакет не удовлетворит правилу и будет отброшен последним правилом, соответственно сеть у человека работать не будет, т.к. не будет наложения ARP-IP-ARP ...

Спасибо за разъясниния.
Я вообще пока не использовал правила на основе содержимого пакетов. Да и от привязки IP-MAC-Port думаю уходить в сторону VLAN-per-user. Если не per-service....

Но уж очень любопытно стало - не поможете разобраться?

snark писал(а):

для 3028 можно использовать че нить в духе этого:

Код:

# ARP
create access_profile                                packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0   0xffffffff profile_id 1
config access_profile profile_id 1 add access_id 3 packet_content                      offset 12 0x08060000    offset 16 0x08000000 offset 28 0xa0b0c0d port 3 permit

Насколько я понял, мы тут разрешаем ARP-ответ, в котором хост говорит, что такой-то IP на таком-то MAC-е?
Но тогда я немного с оффсетами не понял.

Начитавшись этого:
http://ru.wikipedia.org/wiki/ARP
выходит, что IP хоста находится по смещению 112-128, а MAC, по смещению 64-112.
Или я что-то не так понял?

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Чт ноя 20, 2008 19:19

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

kapa писал(а):

snark писал(а):

для 3028 можно использовать че нить в духе этого:

Код:

# ARP
create access_profile                                packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0   0xffffffff profile_id 1
config access_profile profile_id 1 add access_id 3 packet_content                      offset 12 0x08060000    offset 16 0x08000000 offset 28 0xa0b0c0d port 3 permit

Насколько я понял, мы тут разрешаем ARP-ответ, в котором хост говорит, что такой-то IP на таком-то MAC-е?

нет! в профиле просто смотрится чтоб в ARP пакете (806) IP протокола (800) стоял именно тот IP адрес ("offset 28") который указан, про МАС-и там вообще ничего нет

т.е. этим правилом разрешаются ARP запросы/ответы только для конкретного IP адреса ... почему именно так? дело в том что мне не нужны проблемы связанные с отслеживанием клиентских МАС-ов, я не хочу зависеть от того что они меняют сетевушки, материнки, покупают роутеры и т.д. и т.п.

_________________
с уважением, БП

Вернуться наверх

kapa

Заголовок сообщения:

Добавлено: Чт ноя 20, 2008 19:33

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва

snark писал(а):

kapa писал(а):

snark писал(а):

для 3028 можно использовать че нить в духе этого:

Код:

# ARP
create access_profile                                packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0   0xffffffff profile_id 1
config access_profile profile_id 1 add access_id 3 packet_content                      offset 12 0x08060000    offset 16 0x08000000 offset 28 0xa0b0c0d port 3 permit

Насколько я понял, мы тут разрешаем ARP-ответ, в котором хост говорит, что такой-то IP на таком-то MAC-е?

А если я себе MAC шлюза поставлю. Не меняя IP?

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 12:03

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

kapa писал(а):

А если я себе MAC шлюза поставлю. Не меняя IP?

Вопрос в яблочко.
Одно из двух - или привязывать и MAC в ACL'ках, или настраивать нечто вроде mac_notification + демон на сервере, отслеживающий совпадения MAC и выдающий ахтунги.

Вернуться наверх

kapa

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 12:28

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва

Dyr писал(а):

kapa писал(а):

А если я себе MAC шлюза поставлю. Не меняя IP?

Я думаю ахтунгов мало.
Может, конечно, в качестве полумеры сделать профиль в котором запрещать арп-ответы с маками шлюза и пр. критичными?
В 3028 ведь, 1 правило на группу портов = 1 ACL?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 12:32

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Одно правило на все порты это одно правило из списка, а на группу столько сколько портов в группе.

Вернуться наверх

kapa

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 12:37

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва

Demin Ivan писал(а):

Одно правило на все порты это одно правило из списка, а на группу столько сколько портов в группе.

Стало хуже.
Ну совсем на все порты мне не надо. Мне аплинковые бы исключить.
А группа это 1-8,2-16....?
Допустим, я правило применю на 1-24 порт, это 1 запись в ACL?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 12:41

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Нет 24.

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 14:36

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

kapa писал(а):

Я думаю ахтунгов мало.
Может, конечно, в качестве полумеры сделать профиль в котором запрещать арп-ответы с маками шлюза и пр. критичными?

Это вы так думаете до первого вируса. Весной этого года пошёл гулять по всем сеткам вирус, который спуфит ВСЕ адреса, а не только шлюза, так что бедняги, приходящиеся соседями заражённой машины (в L2-домене), мгновенно получали все сопутствующие заражению "прелести", начиная с обрывов связи и заканчивая кражой паролей.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 15:06

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

После всего этого кто нить еще считает туннелирование в лице PPPoE/PPTP/L2TP (последние 2 правда зависят от L3 сети) плохим решением?

_________________
с уважением, БП

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 15:20

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

snark писал(а):

Конечно!

Одни только втолковывания людям про маршрутизацию в локальную при включенном туннеле чего стоят! Как два года назад ушли от этого, так и вздохнули с облегчением. Правильные ACL они рулят! ;-)

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пт ноя 21, 2008 15:36

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Dyr писал(а):

snark писал(а):

Конечно!

Одни только втолковывания людям про маршрутизацию в локальную при включенном туннеле чего стоят!

у меня вся локальная маршрутизация отдается в DHCP ответе (запросы ходят через DHCP Relay, да) и уже ХЗ сколько все прекрасно пашет, может я что-то не так делаю?

UPD: сделайте wiki уже наконец! :evil:

_________________
с уважением, БП

Вернуться наверх

Страница 6 из 7

[ Сообщений: 98 ]

На страницу Пред. 1 ... 3, 4, 5, 6, 7 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения