1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 23, 2025 15:10

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 23 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Setur
 Заголовок сообщения: ip arp фильтрация по acl на 3526
СообщениеДобавлено: Вс сен 28, 2008 11:57 
Не в сети

Зарегистрирован: Сб июн 28, 2008 12:51
Сообщений: 66
Откуда: Саратов
Вчера пытался настроить на 3526 фильтр на packet content mask, чтобы он резал ip + mac. После чего оказалось что доступ блокируется. Я начал разбираться и понял что оказывается у ip и arp пакетов не совпадает информация в плане ip адреса источника, т.е. я то блокировал по варианту ip, а машины пытались резолвить ip адреса и не могли это сделать, т.к. arp пакеты грохались.
Вот как выглядят эти пакеты:
arp
0x0000: 0011 5bb0 aa04 0080 4819 874b 0806 0001
0x0010: 0800 0604 0002 0080 4819 874b c0a8 0005
ip
0x0000: 0011 5bb0 aa04 0080 4819 874b 0800 4500
0x0010: 0054 8ea5 0000 4001 6aa4 c0a8 0005 c0a8
Из этого я сделал вывод что одним acl правилом нельзя осуществить полноценную фильтрацию ip + mac + port. Нужно еще одно правило для фильтрации arp пакетов, а для этого у меня правил уже не остается. В связи с чем вопрос, IMB в режиме ACL может фильтровать и то и другое, или же тоже только ip? Корректно ли оно будет работать с вышележащими по profile_id правилами?
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 12:40 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
address_binding в режиме acl блокирует по ip протоколу.
В режиме arp по arp протоколу ...
Вернуться наверх
 Профиль  
 
Setur
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 13:00 
Не в сети

Зарегистрирован: Сб июн 28, 2008 12:51
Сообщений: 66
Откуда: Саратов
А можно подробнее о работе IMP, я сколько не читал про него, точно еще не понял.
В acl режиме он блокирует ip пакеты по связке source ip + mac. А arp пакеты он пропускает или же режет? Я понимаю это так: комп 1 хочет пингнуть комп 2, посылает arp пакет, комп 2 посылает ответ, он проходит, комп 1 получает мак компа 2, пускает туда icmp, комп 2 пускает ответ, а он режется на свиче acl IMB.
А как работает arp ICB. Че-то я уже запутался...
Вернуться наверх
 Профиль  
 
Setur
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 13:27 
Не в сети

Зарегистрирован: Сб июн 28, 2008 12:51
Сообщений: 66
Откуда: Саратов
сейчас провожу эксперименты. создал такие правила:

create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0xFFFF 0xFFFF0000 profile_id 1

config access_profile profile_id 1 add access_id 1 packet_content_mask offset_0-15 0x0 0x80 0x4819874B 0x0 offset_16-31 0x0 0x0 0xC0A8 0x50000 port 8 permit

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 8 deny

сбросил на своей машине арп адрес жертвы. пинганул ее и снифером видно что от жертвы вернулся не только ответ на пинг но и перед этим ответ на арп запрос. хотя по идее он должен резаться вторым правилом.

UPD. Сорри, в провиле два надо маску мака было 00-00-00-00-00-00 ставить. Теперь все правильно работает, арп не проходит, пинга нету, хоть жертва и находится в разрешающем правиле.
Теперь собственно один вопрос, как в это случае быть, если нужно ограничить пользователей по связкам ip + mac, причем на каждого пользователя возможно выделить только одно acl правило? Если сделать еще правило, которое разрешает arp ответы, то мы опять приходим ко всяким спуфингам и проч.
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 14:50 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Первое правило неверно ....
На данном коммутаторе все пакеты тегированы, пакет смещается на четыре байта с 12 по 15 ...


Поставь конкретную задачу ...
Можно и с реальными реквизитами пользователя.
Напишу, проверишь.
Вернуться наверх
 Профиль  
 
Setur
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 15:05 
Не в сети

Зарегистрирован: Сб июн 28, 2008 12:51
Сообщений: 66
Откуда: Саратов
Да, у меня тут эксперименты продолжились, я заметил ошибку. Но суть не в этом. Меня интересует возможно ли одним правилом acl на пользователя разрешать от него ip и arp пакеты (осуществляя при этом фильтрацию по ip + mac), а для всех остальных таковые запрещать. И если нет, то как лучше поступить, чтобы свести к минимуму возможные arp атаки. Пока для себя я вижу только вариант, где для пользователя создается одно правило по packet content mask, где идет фильтрация по ip и mac, а в качестве запрещающего правило, которое блокирует любой source ip, а не любой source mac, как я делал ранее, чтобы arp ответы от валидных пользователей все-таки проходили. Правда, они будут проходить и от не валидных юзеров. Эх, нет в жизни совершенства...


Последний раз редактировалось Setur Вс сен 28, 2008 15:07, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 15:06 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Комбинация address_binding и acl
Дай конкретные реквизиты ...
Вернуться наверх
 Профиль  
 
Setur
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 15:12 
Не в сети

Зарегистрирован: Сб июн 28, 2008 12:51
Сообщений: 66
Откуда: Саратов
Допустим на 8 порту три компа: 192.168.0.5, 192.168.0.6 и 192.168.0.7. У них у каждого маки, пусть будут разные. Из них первый это пользователь, остальные это нехорошие люди. Нужно создать набор правил, разрешающий кадры от 192.168.0.5 (фильтрация по связке ip + mac + порт) и запрещающий любые кадры от всех остальных.
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 16:02 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Хорошо:
Допустим, юзверь у нас 192.168.0.5 00-aa-aa-aa-aa-aa порт -8
пишем.
Код:
enable address_binding trap_log
config address_binding ip_mac ports 8 state enable strict
create address_binding ip_mac ipaddress 192.168.0.5 mac_address 00-AA-AA-AA-AA-AA ports 8

# Разрешаем ip 192.168.0.5 мас 00-aa-aa-aa-aa-aa
create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x0 0xFFFF offset_32-47  0xFFFF0000 0x0 0x0 0x0 profile_id 60
config access_profile profile_id 60 add access_id 1 packet_content_mask offset_0-15 0x0 0xAA 0xAAAAAAAA 0x0 offset_16-31 0x0 0x0 0x0 0xC0A8 offset_32-47 0x50000 0x0 0x0 0x0 port 8 permit

# Запрещаем всё.
create access_profile packet_content_mask offset_0-15 0x0 0x00000000 0x00000000 0x0 offset_16-31 0x0 0x0 0x0 0x00000000 offset_32-47  0x00000000 0x0 0x0 0x0 profile_id 70
config access_profile profile_id 70 add access_id 1 packet_content_mask offset_0-15 0x0 0x0000 0x1 0x0 offset_16-31 0x0 0x0 0x0 0x0000 offset_32-47 0x10000 0x0 0x0 0x0 port 8 deny


Проверь, должно работать ...


Последний раз редактировалось Daniil-B Вс сен 28, 2008 16:13, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Magnum72
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 16:07 
Не в сети

Зарегистрирован: Пт окт 21, 2005 07:39
Сообщений: 375
Откуда: Екатеринбург
Setur писал(а):
Допустим на 8 порту три компа: 192.168.0.5, 192.168.0.6 и 192.168.0.7. У них у каждого маки, пусть будут разные. Из них первый это пользователь, остальные это нехорошие люди. Нужно создать набор правил, разрешающий кадры от 192.168.0.5 (фильтрация по связке ip + mac + порт) и запрещающий любые кадры от всех остальных.


40 - запрещающий, 25, 30, 35 это разным груцппам юзеров разрешено разное, одним все, вторым доступ к статистике и ВПН, третьим (вирусятникам) только к статистике, а вот кто из них кто в этип правилах я забыл :)

Код:
create access_profile packet_content_mask offset_0-15  0x0 0xFFFF  0xFFFFFFFF 0x0 offset_16-31  0x0  0x0  0x0  0xFFFF offset_32-47  0xFFFF0000  0x0  0x0  0x0 profile_id 25
config access_profile profile_id 25 add access_id 4 packet_content_mask offset_0-15  0x0  0xF  0xEAA633C3  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47 0xE040000  0x0  0x0  0x0 port 10 permit

create access_profile packet_content_mask offset_0-15  0x0  0xFFFF  0xFFFFFFFF 0x0 offset_16-31  0x0  0x0  0x0  0xFFFF offset_32-47 0xFFFFFFFF  0xFFF80000  0x0  0x0 profile_id 30
config access_profile profile_id 30 add access_id 5 packet_content_mask offset_0-15  0x0  0xC0  0x9F78233A  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47 0xE050A00  0x400000  0x0  0x0 port 11 permit

create access_profile packet_content_mask offset_0-15  0x0  0xFFFF  0xFFFFFFFF 0x0 offset_16-31  0x0  0x0  0x0  0xFFFF offset_32-47 0xFFFFFFFF  0xFF000000  0x0  0x0 profile_id 35
config access_profile profile_id 35 add access_id 12 packet_content_mask offset_0-15  0x0  0x1B  0xFC63E8F1  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47 0xE0C0A01  0xE000000  0x0  0x0 port 3 permit

create access_profile ip vlan profile_id 40
config access_profile profile_id 40 add access_id 1 ip vlan default port 1 deny
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 16:31 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Так ... щас перепишу .... есть ошибка ...

В arp пакете желательно проверять Source MAC - 7 байт и Sender MAC - 22 байт
Если они идентичны, пакет можно считать валидным ...

вот:
Код:
create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0xFFFF 0xFFFFFFFF offset_32-47  0xFFFFFFFF 0x0 0x0 0x0 profile_id 60
config access_profile profile_id 60 add access_id 1 packet_content_mask offset_0-15 0x0 0xAA 0xAAAAAAAA 0x0 offset_16-31 0x0 0x0 0xAA 0xAAAAAAAA offset_32-47 0xC0A80005 0x0 0x0 0x0 port 8 permit

create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x0 0xFFFF offset_32-47  0xFFFF0000 0x0 0x0 0x0 profile_id 61
config access_profile profile_id 61 add access_id 1 packet_content_mask offset_0-15 0x0 0xAA 0xAAAAAAAA 0x0 offset_16-31 0x0 0x0 0x0 0xC0A8 offset_32-47 0x50000 0x0 0x0 0x0 port 8 permit

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 offset_16-31 0x0 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0 0x0 profile_id 70
config access_profile profile_id 70 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x1 0x0 offset_16-31 0x0 0x0 0x0 0x0 offset_32-47 0x10000 0x0 0x0 0x0 port 8 deny


Данный набор проверен на действующем юзвере .... работает ...
При попытке подмены любого реквизита и посылке подменного arp пакета, пакет блокируется как arp, так ip ...

При таком контроле юзверей на порту тратим 3 профиля и 49 правил, при условии отведения под каналы 25 и 26 порт, и на каждом порту по юзверю

Возможно есть и более красивые решения.
Вернуться наверх
 Профиль  
 
Setur
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 20:23 
Не в сети

Зарегистрирован: Сб июн 28, 2008 12:51
Сообщений: 66
Откуда: Саратов
Всем спасибо, есть о чем подумать. Эксперименты еще более продолжились. :) Скажите, если сделать вот так:
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.0.5 port 8 permit
config address_binding ip_mac ports 8 state enable strict
enable address_binding acl_mode

то связи с 192.168.0.5 нету, значит acl правила при включенном IMB не работают. Так и должно быть?

PS. Еще один вопрос. Я узнал о sim в 3526. Но как я понял там чистосимволические функции, доступные только через web интерфейс, т.е. допустим подключится к главному по телнету и залить правила на порты подчиненного я не смогу, так ведь?
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 21:32 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Если ты создаёшь правило, разрешающее конкретный адрес на порту:
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.0.5 port 8 permit

следом ты должен создать правило, запрещающее всё на этом порту
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 port 8 deny

иначе толку не будет .... но это не избавит от подмены МАС адресов.

далее:
Код:
config address_binding ip_mac ports 8 state enable strict
enable address_binding acl_mode

А где:
Код:
create address_binding ip_mac ipaddress 192.168.0.5 mac_address 00-AA-AA-AA-AA-AA ports 8

Ты же должен привязать к этому порту MAC-IP связку.

А потом какой в этом смысл?
address_binding в acl_mode просматривает IP пакеты и добавляет два профиля и два правила.
access_profile ip source_ip_mask 255.255.255.255 также работает с IP пакетами, но не просматривает МАС источника, а arp пакеты в этом случае не прасматриваются, что для спуфинга открывает широкие границы.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 28, 2008 22:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Правильно SIM это программное стекирование для удобства группового управления через WEB.
Вернуться наверх
 Профиль  
 
Setur
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 29, 2008 01:25 
Не в сети

Зарегистрирован: Сб июн 28, 2008 12:51
Сообщений: 66
Откуда: Саратов
Daniil-B, я наверно не так все написал. Я вот что имею ввиду. После вашего варианта кода я начал эксперименты и обнаружил, что если включить imb с меткой strict, но не в режиме acl (т.е. imb НЕ дописывает свои правила в таблицу acl), то происходят вполне интересные вещи, а именно от валидных хостов идут ip и arp кадры, а от невалидных и то и другое режется, причем полностью и начиная с первого кадра. Здесь я хочу понять по каким принципам работает этот режим imb, ведь де-факто он не использует правила acl, таблица acl'ов пуста. Правда я не проверял, будет ли он пропускать arp ответы от валидных хостов где не совпадают source и sender mac адреса. Это раз. Но даже если и не пропускает, мне нужна некоторая дополнительная функциональность, реализуемая только с помощью acl. Но тут я натыкаюсь на то, что любые правила acl не работают, работает только блокировка imb и все. Т.е. я не могу с помощью acl обеспечить прохождение невалидных с точки зрения imb пакетов по каким-либо критериям. Здесь второй вопрос, это так правильно или я что-то не понимаю?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 23 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 47

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB