D-Link • Просмотр темы - ACL в DES-3526

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ACL в DES-3526 - подскажите

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 12 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Linework

Заголовок сообщения: ACL в DES-3526 - подскажите

Добавлено: Пн май 14, 2007 09:46

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула

Надо запретить ICMP ECHO REQUEST на "широковещательный пункт назначения" 255.255.255.255

Подскажите как настроить список доступа и активировать его. Что-то самостоятельно у меня не получается.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: ACL в DES-3526 - подскажите

Добавлено: Пн май 14, 2007 13:37

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Вам нужно запретить вообще ICMP для определённых пользователей или только, если destination_ip 255.255.255.255? Пожалуйста, опишите подробнее ТЗ.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Linework

Заголовок сообщения:

Добавлено: Пн май 14, 2007 15:45

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула

Все ICMP у которых destination_ip 255.255.255.255.
Просто есть такой вид атаки, делается многократный(сколько позволяет порог на broadcast/multicast шторм) ICMP ECHO REQUEST на все доступные адреса с подменой source_ip, идут валом ответы от всех узлов, которые могут отвечать, в результате канал на source_ip просто ложится от ответов.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн май 14, 2007 17:18

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Создаём профиль и правило запрещающая для IP 192.168.1.102, который находится на 10 порту:
1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.255.255
destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8 code 0 source_ip 192.168.1.102 destination_ip 255.255.255.255 port 10 deny

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

glat

Заголовок сообщения:

Добавлено: Пн май 14, 2007 20:28

Зарегистрирован: Пт июн 30, 2006 23:22
Сообщений: 229
Откуда: Запорожье

Linework писал(а):

расскажи какие симптомы у такой атаки.

Вернуться наверх

Linework

Заголовок сообщения:

Добавлено: Вт май 15, 2007 11:16

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула

Высокая загрузка сети, невозможно достучаться до сетевого оборудования. Снифер на машинке показывает многократные широковещательные посылки ICMP на 255.255.255.255 (порывшись в заголовке я выснил что это ICMP ECHO REQUEST, типа пинга, только из под протокола ICMP). Причем на всёх свичах в сети выствлен boadcast/multicast фильтр, с выездом на "местность" и подключением ноутбука непосредственно в сегмент сети показывает, что высокая загрузка сети вызвана не столько посылкой ICMP ECHO REQUEST на 255.255.255.255 а сколько ответами ICMP REPLY, от всех, кто может ответить.
Порывшись в интернете я выснил что такое делается намерянно, что-бы подавить связь с кем либо паразитным трафиком.
Конечно, злоумышленника мы отключили, но заняло это примерно 3 часа, в которые часть сети практически не работала. Во избежание этого и хотелось-бы заблокировать такoго рода атаки.

Вернуться наверх

Linework

Заголовок сообщения:

Добавлено: Вт май 15, 2007 11:23

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула

Bigarov Ruslan писал(а):

А если для всех портов за исключением 26 (up-link) то это должно выглядеть так:
1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.255.255
destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8 code 0 source_ip 192.168.1.102 destination_ip 255.255.255.255 port 1-25 deny
Я правильно понял?
Но мне надо закрыть весь диапазон адресов, например 10.7.xxx.xxx
Я заранее не могу знать с какого IP и с какого порта будет произведена атака.

Код:

1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.0.0
 destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8  code 0 source_ip 10.7.0.0 destination_ip 255.255.255.255 port 1-25 deny

Так?

Последний раз редактировалось Linework Вт май 15, 2007 11:31, всего редактировалось 1 раз.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт май 15, 2007 11:31

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

1. create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255 profile_id 1
2. config access_profile profile_id 1 add access_id 1 ip icmp type 8 code 0 source_ip 10.7.0.1 destination_ip 255.255.255.255 port 1-25 deny

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Linework

Заголовок сообщения:

Добавлено: Вт май 15, 2007 11:32

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула

Понял, большое спасибо.

Вернуться наверх

Linework

Заголовок сообщения:

Добавлено: Вт май 15, 2007 11:56

Зарегистрирован: Пн янв 22, 2007 13:44
Сообщений: 24
Откуда: Тула

Код:

DES-3526:4#create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.0.
0 destination_ip_mask 255.255.255.255 profile_id 1
Command: create access_profile ip icmp type

Next possible completions:
code                vlan                source_ip_mask
destination_ip_mask                     dscp                profile_id

DES-3526:4#show access_profile 1
Command: show access_profile

Next possible completions:
{}                  profile_id

DES-3526:4#create access_profile ip icmp type 8 code 0 source_ip_mask 255.255.0.
0 destination_ip_mask 255.255.255.255 profile_id 1
Command: create access_profile ip icmp type

Next possible completions:
code                vlan                source_ip_mask
destination_ip_mask                     dscp                profile_id

DES-3526:4#show access_profile profile_id 1
Command: show access_profile profile_id 1

The entry does not exist.

DES-3526:4#

Что-то профиль не создаётся.

Последний раз редактировалось Linework Вт май 15, 2007 11:58, всего редактировалось 1 раз.

Вернуться наверх

shicoy

Заголовок сообщения:

Добавлено: Вт май 15, 2007 11:58

Зарегистрирован: Пн дек 11, 2006 11:46
Сообщений: 432
Откуда: Etherway, Чебоксары

Ради эксперемента сделал:

DES-3526:4#create access_profile ip icmp type 8 code 0 source_ip_mask 255.0.0.0
destination_ip_mask 255.255.255.255 profile_id 2
Command: create access_profile ip icmp type

Next possible completions:
code vlan source_ip_mask
destination_ip_mask dscp profile_id

Device Type : DES-3526 Fast-Ethernet Switch
Combo Port Type : 1000Base-T + 1000Base-T
MAC Address : Hidden
IP Address : Hidden
VLAN Name : v98
Subnet Mask : 255.255.255.0
Default Gateway : Hidden
Boot PROM Version : Build 3.00.008
Firmware Version : Build 4.01-B40
Hardware Version : 3A1

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт май 15, 2007 12:04

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Да, в профиле 8 и 0 указывать не нужно.

Код:

DES-3526:4#create access_profile ip icmp type code source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255 profile_id 1
Command: create access_profile ip icmp type code source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255 profile_id 1

Success.   

DES-3526:4#

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 12 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 39

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения