1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 20:18

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 29 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Kras_alex
 Заголовок сообщения: Защита от DHCP атак и подмены маков
СообщениеДобавлено: Пт мар 25, 2011 19:04 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Доброго времени суток.
Имеем сеть.

Три станции головные. На каждой станции стек из 3-ех 3627G.
Между собой станции соединены оптикой.

К станции включены кольца, некоторые из них ERPS, некоторые STP. Возможно избавится от колец нет. Коммутаторы 3526, 3200-28,3028.
Сейчас клиенты работают по протоколу PPPoE. Сейчас планируется переходить на DHCP.

В связи с чем есть очень много вопросов, раньше все было закрыто ACl`ами, клиенты не могли залесть куда не надо.

Сейчас же есть угроза множетсва атак.

Код:
Функция коммутатора            От каких атак защищает

Port security                          Переполнение таблицы коммутации, несанкционированная смена MAC-адреса
DHCP Snooping                        Подмена DHCP-сервера в сети, DHCP starvation
Dynamic ARP Inspection            ARP-spoofing
IP Source Guard             IP-spoofing


Но тут же начинают появляться вопросы за вопросом.

1) Port security и DHCP snooping одновременно не работают.



2) При включении DHCP snooping

Код:
enable address_binding dhcp_snoop
enable address_binding trap_log
enable address_binding arp_inspection
config address_binding ip_mac ports 1-23 state enable strict allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 1-23 limit 1


Порт блокируется если количество маков растет. Но почему то функция срабатывает неверно, и другие клиентские порты также перестают правильно функционировать.


3) Как правильно настроить ARP-spoofing

4) Как бороться с диблированием мака в сети? Например DHCP сервера?

Огромное спасибо за любые советы и предложения! Вопросы очень обьемные, знаний мало, помогите пожалуйста.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Пт мар 25, 2011 19:05 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Сразу скажу, что по поиску прочитал много тем. Проделавал разные манипуляции, включал разный фукнционал, не работает нормально. Скорее всего делаю что то не так... Либо не в нужной последовательности...
Вернуться наверх
 Профиль  
 
terrible
СообщениеДобавлено: Пт мар 25, 2011 19:53 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
я тебе по аське дал информацию для размышления?
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Пт мар 25, 2011 20:06 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
terrible писал(а):
я тебе по аське дал информацию для размышления?

От колец избавлять нельзя. Так уж решаю не я.

Хотелось бы услышать как у других реализовано.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Пн мар 28, 2011 08:42 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Вот допустим пытаюсь настроить IMPB и DHCP Snooping.
Тема viewtopic.php?f=2&t=126353&start=15 очень не радует. Так как я вроде понял что у меня ничего не получится.
Цитата:
Нет, для DHCP Snooping нужен DHCP Offer, чтобы он смог создать связку, если Вы просто включите функцию, то клиент будет заблокирован до тех пор, пока не переполучит настройки от DHCP сервера. Другое дело, если у Вас раз в сутки DHCP сервер сбрасывает сессии и перевыдаёт настройки, тогда можно по кускам переводить сеть в этот момент на новую систему.


Так что как бы тему можно не продолжать вроде бы, если я прав, подтвердите это.

В длинк включен DHCP сервер.

Выключаю клиентские порты.

1. Выключаю сначала port_securite на портах.
Код:
enable address_binding dhcp_snoop
enable address_binding trap_log
disable address_binding arp_inspection
config address_binding ip_mac ports 1-24 state enable loose allow_zeroip disable forward_dhcppkt enable
config address_binding ip_mac ports 1-24 mode acl stop_learning_threshold 0
config address_binding dhcp_snoop max_entry ports 1-28 limit 5
config address_binding ip_mac ports 25-26 state disable allow_zeroip disable forward_dhcppkt enable
config address_binding ip_mac ports 25-26 mode arp stop_learning_threshold 500


Когда включаю клиентские порты, включаю комп, ноут, да что угодно сразу появляется:
Код:
VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
1222 22RING                     00-22-15-21-91-6C 13   BlockByAddrBind
1222 22RING                     F0-7D-68-50-52-3A  5   BlockByAddrBind
3222 MGMT_22RING                     F0-7D-68-39-**-** CPU  Self



Дальше опять же пытаюсь его включить, подавляю еще защиту от DHCP серверов на клиентском порту
Код:
config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server ports 25 state disable
config filter dhcp_server illegal_server_log_suppress_duration 5min
config filter dhcp_server trap enable
config filter dhcp_server log enable

config address_binding ip_mac ports 1-23 state enable strict allow_zeroip enable forward_dhcppkt enable mode acl stop_learning_threshold  50
config address_binding dhcp_snoop max_entry  ports 1-23 limit 2
enable address_binding dhcp_snoop
enable address_binding arp_inspection
config filter dhcp_server add permit server_ip 10.*.*.* port 1-23
config filter dhcp_server ports 1-23 state enable
config dhcp_relay hops 16 time 0
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check enable
config dhcp_relay option_82 policy replace
enable dhcp_relay


Тоже самое. Порты сразу блокируются. В какую сторону копать?
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Пн мар 28, 2011 14:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Код:
config address_binding ip_mac ports 1-24 state enable loose allow_zeroip enable forward_dhcppkt enable
config address_binding ip_mac ports 1-24 mode acl stop_learning_threshold 1
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Ср мар 30, 2011 08:48 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Еще вопрос. Есть мак допустим 01:02:03:04:05:06, как прописать его в ACL`e чтобы клиенты не могли его поставить себе и работать с ним. Или как с этим бороться? Статика FDB не помогает.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Ср мар 30, 2011 09:19 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
О какой модели идёт речь?
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Ср мар 30, 2011 09:24 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Alexandr Zaitsev писал(а):
О какой модели идёт речь?

3526, 3028, 3200-28
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Ср мар 30, 2011 09:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
На 3028 достаточно включить address_binding в strict режиме, на остальных сериях это невозможно.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Ср мар 30, 2011 09:27 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Alexandr Zaitsev писал(а):
На 3028 достаточно включить address_binding в strict режиме, на остальных сериях это невозможно.

А как бороться? Ведь считайте если злоумышленник узнает мак оборудования, то положит всю сеть.
У Вас есть какие нибудь предложения?
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Ср мар 30, 2011 12:52 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Kras_alex писал(а):
Alexandr Zaitsev писал(а):
На 3028 достаточно включить address_binding в strict режиме, на остальных сериях это невозможно.

А как бороться? Ведь считайте если злоумышленник узнает мак оборудования, то положит всю сеть.
У Вас есть какие нибудь предложения?

И все же. Проблема очень остро стоит.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Ср мар 30, 2011 14:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Пока только один совет - не использовать address_binding. Используйте ACL
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Ср мар 30, 2011 14:41 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Alexandr Zaitsev писал(а):
Пока только один совет - не использовать address_binding. Используйте ACL

Посоветуйте как организовать ACL для запрещения маков на клиентских портах (таких маков будет 5-7 штук.)
FAQ читал, ничего не нашел...


Необходимо чтобы клиенты не могли ставить маки некоторого оборудования себе на компы. Порты используются для клиентов 1-23. коммутатор 3200-28
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Чт мар 31, 2011 13:48 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Kras_alex писал(а):
Alexandr Zaitsev писал(а):
Пока только один совет - не использовать address_binding. Используйте ACL

Посоветуйте как организовать ACL для запрещения маков на клиентских портах (таких маков будет 5-7 штук.)
FAQ читал, ничего не нашел...


Необходимо чтобы клиенты не могли ставить маки некоторого оборудования себе на компы. Порты используются для клиентов 1-23. коммутатор 3200-28

Как с Вами связаться что бы получить техническую поддержку.
Написал письмо А.Зайцеву тишина. По телефону такие вещи обсуждать тяжело.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 29 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 289

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB