Здравствуйте.
Остро встал такой вопрос: в логах сыпется Possible Spoofing Attack...

На свитчах DES-3526 включил ARP Spoofing Prevention, и так понял, что эта функция просто в ACL добавляет соответствующие правила, т.е. по сути их можно и вручную внести.

DES-3526 как бы хорошо работает, но кроме 3526 есть еще свитчи 3010G, на них к сожелению такого функционала нет, да и не планируется похоже...

Было решено попробовать поставить вместо DES-3010G DGS-3200-10.. Возможно ли внести в ACL этого свитча правила, чтобы защититься от ARP спуффинга? Или может там уже есть такая функция? Функционал этого свитча с каким свитчом можно сравнить, просто никогда не использовали свитчи этой серии...(использовались DGS-3627G,DES-3828, DES-3010G, DES-3526, DGS-3100-24/24TG)

Possible Spoofing Attack - если мак адрес свитча показывается, то у вас петля. Если же нет, то почему у вас управление коммутаторами в одном VLAN'е с клиентами ??
Первым делом при построении сети надо отделять пользователей от оборудования.

_________________
LiveComm

Можно создать на этой серии такие ACL. Ведь на ней тоже есть ACL Packet Content filtering. По функционала этот коммутатор можно сравнить с DES-35XX и DES-3028/3052. Приблизительно этот уровень.

Нет, данная проблема возникает только на свитчах DGS-3627G, к которым подключены DES-3526 или DES-3010G. Если на порту висит DES-3526, то с включенным arp spoofing prevention в логах с этого порта ничего нет... если DES-3010G, то постоянно видно мак(мак абонента)...свитч DGS-3627G выполняет роль шлюза, поэтому и находятся его интерфейсы в одном влане с абонентами, управляемый интерфейс коммутаторов (L2 или L3) находится и так в отдельном влане, и абонентам не доступен...

спасибо, будем пробовать

Насколько я понимаю, ARP Spoofing Prevention на DES-35xx позволяет предотвратить Arp Spoofing для ip адресов, занесенных в таблицу.

Был проведен тест с помощью ettercap
192.168.0.53 - атакуемый комп (XP)
192.168.0.22 - DES-3550 (FW 5.01 B52)
правило для arp:

сам ARP спуф, запускамый с Linux:

Самое интересное, что arp на ПК - правильное, а на DES - нет
Похоже правила коммутатора на сам коммутатор не действуют?

Погодите к каким портам что подключено? Потом немного неясно зара ботало у вас или нет? В третьих что значит не действуют на само устройство? Вы от имени самого свитча как бы пакеты запустили? Если так то конечно не действует.

1) Коммутатор DES-3550 IP 192.168.0.22 (22)
31 порт (Атакующий комп с Linux и ettercap) IP 192.168.0.112 (112)
15 порт (Атакуемый (а-ля жертва) под Windows XP) IP 192.168.0.53 (53)

2-3)Тест спуфа:
DES - защита от спуфа ни у кого нет
22 - таб ARP неправильная
53 - таб ARP неправильная
DES - защищен 53
22 - таб ARP неправильная
53 - таб ARP неправильная
DES - защищен 53 + 22
22 - таб ARP неправильная
53 - таб ARP правильная
DES - защищен только 22
22 - таб ARP неправильная
53 - таб ARP правильная

4) ARP Spoofing c помощью ettercap (пример)

Мне просто интересно: почему, когда создаем защиту определенного устройства - коммутатор показывает ложную таблицу ARP?

Конечно не действуют. Обычные ACL не фильтруют трафик идущий на CPU устройства.

_________________
LiveComm