faq обучение настройка
Текущее время: Чт мар 28, 2024 22:47

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 69 ]  На страницу 1, 2, 3, 4, 5  След.
Автор Сообщение
 Заголовок сообщения: 3028 и arp-spoofing
СообщениеДобавлено: Пт окт 24, 2008 09:01 
Не в сети

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50
Может ли DES-3028 каким-нибудь образом противостоять данной атаке?
В сети появился вирус, который занимается тем, что отправляет несанкционированные arp-ответы. Притворяется всеми хостами в сети одновременно, включая шлюз. Сеть не работает.
Сообщения подобного вида:
arp reply 192.168.0.1 is-at 00:1e:f6:25:ba:48
arp reply 192.168.0.2 is-at 00:1e:f6:25:ba:48
arp reply 192.168.0.3 is-at 00:1e:f6:25:ba:48
arp reply 192.168.0.4 is-at 00:1e:f6:25:ba:48
...
и т.д. до последнего хоста в сети.
Спасибо за помощь!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 24, 2008 11:34 
Не в сети

Зарегистрирован: Чт дек 20, 2007 11:20
Сообщений: 126
шлюз обезопасить можно легко с помощью acl, а как быть с остальными ответами если нет IMB...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 27, 2008 14:28 
Не в сети

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50
А что такое IMB?
То есть на 3028 данную атаку не заблокировать? Вирусов инициирующих такой трафик все больше и больше.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 27, 2008 16:11 
Не в сети

Зарегистрирован: Вт апр 04, 2006 13:18
Сообщений: 357
Откуда: Белгород
IMB - IP/MAC Binding.
на 3526 через ACL запрещал ARP ответы с IP шлюза.
на 3028 вроде ACL послабее пока =\


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 28, 2008 02:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
IMP это IP-MAC-Port Binding. Он в DES-3028 есть только в режиме ARP и DHCP Snooping. Но режим ACL можно сделать вручную ACL типа Packet Content filtering. По поводу того что он послабее чем в DES-35XX это довольно спорный вопрос.


Последний раз редактировалось Demin Ivan Пн ноя 03, 2008 23:11, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 28, 2008 07:28 
Не в сети

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50
Так как DHCP Snooping работает "не очень" при большом количестве клиентов, то в данном случае его не применить. К тому же вряд ли он спасет от данной атаки, данная функция не заблокирует ведь лживые arp-ответы, которые гуляют по сети.
Другой возможности нет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 28, 2008 13:39 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
iuser писал(а):
Может ли DES-3028 каким-нибудь образом противостоять данной атаке?

самостоятельно - не может, но что стоит написать ACL как в FAQ ну или использовать что нить в духе этого:
Код:
# ARP
create access_profile                               packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0   0xffffffff profile_id 1
config access_profile profile_id 1 add access_id  1 packet_content                    offset 12 0x08060000    offset 16 0x08000000 offset 28 0xIP.addr.in.HEX port  1 permit
...
config access_profile profile_id 1 add access_id  1 packet_content                    offset 12 0x08060000    offset 16 0x08000000 offset 28 0xIP.addr.in.HEX port 24 permit


# бродкасты
create access_profile                                        ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny


# IP
create access_profile                               ip source_ip_mask 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id  1 ip source_ip    www.xxx.yyy.zzz port  1 permit
...
config access_profile profile_id 3 add access_id  1 ip source_ip    www.xxx.yyy.zzz port 24 permit


# deny all
create access_profile                                        ethernet source_mac 00-00-00-00-00-00 profile_id 4
config access_profile profile_id 4 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

iuser писал(а):
Так как DHCP Snooping работает "не очень" при большом количестве клиентов

серьезно? вот уж не думал ... а как же тогда у меня и сотен других людей работает то?

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 30, 2008 09:16 
Не в сети

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50
ACL это конечно хорошо, но в данном случае по-моему они бесполезны, потому что коммутатор должен помнить на каком порту "светиться" данный мак и если arp-ответ якобы от него пришел с другого порта - блокировать его. Но тогда как коммутатор будет переучиваться? - тоже вопрос интересный.

Было бы замечательно, если бы была функция, блокирующая весь трафик или вырубающая порт в случае, если с одного мак-адреса сыпятся сыпятся "преступные" арп-ответы. Ориентироваться можно на количество арп-ответов в секунду с одного мак-адреса или на то, что с одного мак-адреса приходят арп-ответы на несколько IP.

Это можно реализовать на 3028 какими-нибудь средствами? Функции коммутатора изучал, но в голову решение проблемы не пришло.. :roll:

P.S. спасибо за ответы


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 31, 2008 10:38 
Не в сети

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50
Кажется есть решение:
Решил блокировать arp-ответы, в которых зараженная машина притворяется шлюзом по умолчанию. Блокировать на всех портаз, кроме аплинка. В этом случае компьютеры может и не увидят друг друга, но зато со шлюзом "общаться" будут без проблем.
С помощью ACL основе фильтрации по Packet Content.
Но тут возникли определенные трудности. Схема почему-то не работает.
Имеем ip-адрес шлюза: 10.48.44.1 и порт номер 2, на котором будем фильтровать неверные ответы.
Получаем такую конфигурацию:

#show access_profile
Command: show access_profile

Access Profile Table

================================================================================
Profile ID: 1 Type: Packet Content Frame Filter
Used Rule Entries: 1
================================================================================
Masks Option
Offset Payload
------ -------------------------------------
00-15 0x00000000 00000000 00000000 00000000
16-31 0x00000000 00000000 FFFF0000 00000000
32-47 0xFFFFFFFF 00000000 00000000 00000000
48-63 0x00000000 00000000 00000000 00000000
64-79 0x00000000 00000000 00000000 00000000

--------------------------------------------------------------------------------
Access ID : 1
Ports : 2
Mode : Deny
Offset Payload Mask
------ ---------- ----------
24 0x00020000 0xffff0000
42 0x0a302c01 0xffffffff

================================================================================
Total Profile Entries: 1

Total Used Rule Entries: 1

Total Unused Rule Entries: 255


Смещение 24 - тип пакета. Значение 0002 - arp-ответ.
Смещение 42 - ip-адрес шлюза в arp-пакете.

При составлении маски учел то, что внутри коммутатора пакеты представляются в тэгированном виде.

Не работает почему-то :(
В чем может быть причина?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 03, 2008 23:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Версия прошивки?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 05, 2008 09:11 
Не в сети

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50
Boot PROM Version : Build 1.00-B04
Firmware Version : Build 2.00-B14


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 05, 2008 10:02 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Цитата:
При составлении маски учел то, что внутри коммутатора пакеты представляются в тэгированном виде.

В этом коммутаторе есть особенность:
На нетегированных портах смещение пакета не происходит, он обрабатывается, как есть ...
Смещение на 4 байта происходит только на портах с тегированным вланом.

Эта схема у меня работает уже больше года, но запретив юзверю быть шлюзом, ты не запрещаешь ему портить жизнь остальным юзверям.

Кстати, тип пакета можно не указывать, т.к. ip адрес в arp пакете смещён на два байта по отношению к ip пакету.
Сэкономь Offset, количество которых в этом коммутаторе ограничено пятью на порт суммарно по всем профилям и правилам.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 05, 2008 17:53 
Не в сети

Зарегистрирован: Вт апр 04, 2006 13:18
Сообщений: 357
Откуда: Белгород
Demin Ivan писал(а):
IMP это IP-MAC-Port Binding. Он в DES-3028 есть только в режиме ARP и DHCP Snooping. Но режим ACL можно сделать вручную ACL типа Packet Content filtering. По поводу того что он послабее чем в DES-35XX это довольно спорный вопрос.


а где эта IMB в 3028 (1.00-B32) ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 05, 2008 19:23 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Цитата:
а где эта IMB в 3028 (1.00-B32) ?

Уже давно второй релиз в ходу.
Где вы такого выкопали ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 08:20 
Не в сети

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50
Daniil-B писал(а):
Цитата:
При составлении маски учел то, что внутри коммутатора пакеты представляются в тэгированном виде.

В этом коммутаторе есть особенность:
На нетегированных портах смещение пакета не происходит, он обрабатывается, как есть ...
Смещение на 4 байта происходит только на портах с тегированным вланом.

Эта схема у меня работает уже больше года, но запретив юзверю быть шлюзом, ты не запрещаешь ему портить жизнь остальным юзверям.

Кстати, тип пакета можно не указывать, т.к. ip адрес в arp пакете смещён на два байта по отношению к ip пакету.
Сэкономь Offset, количество которых в этом коммутаторе ограничено пятью на порт суммарно по всем профилям и правилам.


Заработало! :) Спасибо! Действительно, на аксессных портах пакеты фильтруются до инкапсуляции в 802.1q. А то что, будут проблемы с коннективностью между пользователями то это не страшно, главное, что основные платные сервисы доступны через шлюз.
Тему можно считать закрытой.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 69 ]  На страницу 1, 2, 3, 4, 5  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB