faq обучение настройка
Текущее время: Ср июл 15, 2020 02:24

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: DES-3200-XX (привязка IP к порту)
СообщениеДобавлено: Вт сен 28, 2010 16:36 
Не в сети

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 132
Подскажите пожалуйста, возможно ли и с помощью каких команд реализовать привязку IP-адреса с любым MAC на порт?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 28, 2010 21:53 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
ACL, поройтесь в FAQ, там есть похожие примеры.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср сен 29, 2010 01:09 
Не в сети

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 132
Спасибо!.

Нарыл подходящий вариант, хоть и описание на DES-3526.

Цитата:
Вопрос: Как разрешить на порту коммутатора серии DES-35XX один IP-адрес и запретить все остальные (без использования функции IP-MAC-Port Binding)?
Ответ:

Задача: Разрешить на порту 5 коммутатора DES-3526 прохождение трафика от компьютера с IP-адресом 192.168.1.1/24 и запретить всем остальным. При этом MAC-адрес компьютера не должен контролироваться.

Настройка DES-3526:
# Настройте разрешающее правило для IP-адреса 192.168.1.1/24
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.1 port 5 permit

# Настройте запрещающее правило для всех остальных IP-адресов
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny


Примечание: Если необходимо разрешить определённые IP-адреса на других портах коммутатора, то следует добавить в эти же профили все остальные разрешающие и запрещающие правила с привязкой к другим портам.


Теперь осталось протестировать и узнать как себя будет чувствовать под нагрузкой коммутатор при добавлении в access_profile profile_id 10 элементов access_id штук 20-30.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср сен 29, 2010 08:16 
Не в сети

Зарегистрирован: Пт май 22, 2009 07:59
Сообщений: 207
Нормально будет себя чувствовать. ACL на загрузку CPU не влияет, т.к. осуществляется на аппаратном уровне, отсюда идут ограничения по количеству правил ACL.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср сен 29, 2010 20:50 
Не в сети

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 132
Спасибо за объяснение. Следующий вопрос как раз насчет аппаратного уровня хотел задать.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-XX (привязка IP к порту)
СообщениеДобавлено: Вт ноя 09, 2010 02:33 
Не в сети

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 132
Спасет ли подобная привязка от ARP Spoffing'а или нужно чтото еще?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-XX (привязка IP к порту)
СообщениеДобавлено: Вт ноя 09, 2010 12:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12226
Откуда: D-Link, Moscow
Не спасёт. Для защиты используйте arp_spoofing_prevention


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-XX (привязка IP к порту)
СообщениеДобавлено: Вт ноя 09, 2010 16:57 
Не в сети

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 132
Попробовал совершить arp spoofing с подобной конфигурацией. Привязал к каждому порту ip + port_security по 2 мака на порт + auto_fdb с адресом шлюза.
Код:
create access_profile  ip  source_ip 255.255.255.255  profile_id 10
config access_profile profile_id 10  add access_id 1  ip  source_ip 192.168.1.3 port 15 permit
config access_profile profile_id 10  add access_id 2  ip  source_ip 192.168.1.4 port 13 permit
create access_profile  ip  source_ip 0.0.0.0  profile_id 20
config access_profile profile_id 20  add access_id 2  ip  source_ip 0.0.0.0  port 15 deny
config access_profile profile_id 20  add access_id 3  ip  source_ip 0.0.0.0  port 13 deny
disable cpu_interface_filtering

Код:
config port_security ports 1-16 admin_state enable max_learning_addr 2 lock_address_mode DeleteOnTimeout
config port_security ports 17-18 admin_state disable max_learning_addr 1 lock_address_mode DeleteOnTimeout

Код:
create auto_fdb 192.168.1.1

192.168.1.1 - шлюз (17 порт);
192.168.1.3 - атакующий (15 порт);
192.168.1.4 - жертва (13 порт);

Не получилось совершить атаку с подменой MAC-адреса шлюза. На компьютере жертвы только шлюз перестал быть доступным на некоторое время, а на атакующем компьютере вообще перестали приходить пакеты. При второй попытке установил изучение только 1 MAC-адреса в port_security и вообще ничего не происходило.

Так может все-таки этого достаточно от arp spoofing'а?

arp_spoofing_prevention не подходит, в нем нужно жестко привязывать IP с MAC-адресом шлюза, т.е. при замене шлюза или переводе на другой порт, придется переконфигурирывать все свичи. Хотелось бы что-то более универсальное.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-XX (привязка IP к порту)
СообщениеДобавлено: Пн июн 15, 2020 13:36 
Не в сети

Зарегистрирован: Сб мар 06, 2010 16:40
Сообщений: 3
Добрый день. Пытаюсь реализовать эту схему на des-3200-10 и ничего не получается. Как только прописывается правило с deny то трафик перестает ходить вообще.
Код:
create access_profile profile_id 1 profile_name des-3200_permit ip source_ip_mask 255.255.255.255
config access_profile profile_id 1 add access_id 1 ip source_ip 100.35.12.10 port 1 permit

create access_profile profile_id 2 profile_name des-3200_deny ip source_ip_mask 0.0.0.0
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 port 1 deny


Подскажите, что не так?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-XX (привязка IP к порту)
СообщениеДобавлено: Ср июл 01, 2020 21:02 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12226
Откуда: D-Link, Moscow
Какая прошивка на коммутаторе?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 11


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB