faq обучение настройка
Текущее время: Вт авг 26, 2025 18:08

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
СообщениеДобавлено: Чт сен 27, 2007 10:58 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Очень хочу сделать ACL, который бы привязал мак-адрес DHCP-сервера к его IP-адресу. В FaQ выложен вариант защиты от подмены ДХЦП-сервера (там просто ограничивают по портам dhcp-шную активность). Тем не менее хотелось бы защититься еще и таким образом. Помогите, пллзз, создать такой ацл. Я так понимаю, что это будет Packet Content. С ними я никак не разберусь.
Если что, можно реальный пример?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 27, 2007 11:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
А что Вам мешает просто IP-MAC-Port Binding с параметром allow_zero_ip enable на этом порту включить? Я Вам прошивку выслал пробуйте с ней.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 27, 2007 11:12 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
В моем случае DHCP-сервер не подключен напрямую в 3526. Общение с ним происходит через транковый порт (25 или 26).
Это клиент находится на одном из локальный портов.
Вообще, может я некорректно сформулировал вопрос.
Он должен звучать так:
как можно защититься от подмены DHCP-сервера одним-двумя профилями так, чтобы чекался еще и мак-адрес сервера, а не только порт, с/на который идут соотв. запросы


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 27, 2007 12:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
От подмены клиентами адреса на адрес сервера?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 27, 2007 12:08 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
да
чтобы клиент не смог прикинуться дхцп-сервером
и еще - можно описалово новой прошивки - там, смотрю, интересные вещи появились


Последний раз редактировалось GreatFoolDad Чт сен 27, 2007 12:17, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 27, 2007 12:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Функция IP-MAC-Port Binding ACL mode предназначена для этого. Второй вариант это ACL возможно даже Packet Content Filtering для закрытия ARP-ов. Вот здесь есть примеры и они помогут разобраться http://www.dlink.ru/technical/faq_hub_switch_90.php


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 27, 2007 12:32 
Не в сети

Зарегистрирован: Пт май 05, 2006 01:57
Сообщений: 21
Откуда: C-Петербург
Как вариант:
где 01-01-01-01-01-01 мак сервера, если сервер на 25-26 порту.

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 01-01-01-01-01-01 port 1 deny
config access_profile profile_id 1 add access_id 2 ethernet source_mac 01-01-01-01-01-01 port 2 deny
.....
config access_profile profile_id 1 add access_id 24 ethernet source_mac 01-01-01-01-01-01 port 24 deny


create access_profile ip udp src_port_mask 0xFFFF profile_id 40
config access_profile profile_id 40 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 40 add access_id 2 ip udp src_port 67 port 26 permit
config access_profile profile_id 40 add access_id 3 ip udp src_port 67 port 1 deny
......
config access_profile profile_id 40 add access_id 26 ip udp src_port 67 port 24 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 28, 2007 09:49 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Иван, прошу прощения.....
> Функция IP-MAC-Port Binding ACL mode предназначена для этого.
Не пойму, как это можно сделать....
Клиент-диверсант (который желает прикинуться дхцп-сервером) сидит, так же как и нормальный ДХЦП-сервер, на 25-м порту (для определенности). Т.е. он подключен к какому-то другому свичу, а 25-26 порты - магистральные (транки и все такое).
У легального ДХЦП-сервера адрес (также для определенности) 10.0.0.2.
У левого - вообще говоря, может быть любой.
Я делаю привязку 10.0.0.2(реального сервера)-MAC(реального сервера)-25-й порт(с которого приходят его ответы). А что при этом будет с остальным трафиком с 25-го порта? Который не относится к нормальному/левому DHCP-серверу?(через 25-26 порты идут как минимум два вилана - один клиентский(pppoe, http,icq,......), другой - управлять железом(snmp, telnet,http,.....))
Если я правильно понимаю, весь этот трафик будет рубиться.....
Поясните, пллззз....


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 28, 2007 10:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В этом случае если все связки на порту не прописать то только ACL.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 28, 2007 10:24 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Вот мы и приехали к началу темы.......
Как создать АЦЛ, в котором одновременно участвуют:
IP-адрес сервера,
MAC-адрес сервера,
UDP-порты для DHCP,
физический порт коммутатора


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 28, 2007 10:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вам же пример приводили и я ссылку давал.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт сен 28, 2007 10:37 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
да, как раз пытаюсь разобраться


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 46


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB