Здравствуйте!
Примерно пол-года назад был приобретён DES-3200-18 Fast Ethernet Switch Hardware Version A1, который был успешно обновлён до Firmware Version Build 1.51.B007 и сконфигурирован в соответствии с требованиями к безопасности сети,
а именно:
1. MAC адреса в сети статически привязаны к портам: Шлюз и DHCP сервер в порту 17, клиенты - в портах 1-16.
2. Клиенты получают настройки сети от DHCP сервера (без DHCP option 82) исходя из иx MAC-адреса (привязка IP-MAC на сервере).
3. Свитч конфигурируется явным указанием IP и MAC адреса шлюза для предотвращения спуффинга со стороны клиентов
4. Свитч изучает выданый DHCP сервером клиенту IP адрес и не допускает IP и ARP спуффинга со строны других клиентов.
5. Свитч не допускает к сети клиентов со статически прописаной (даже правильной) связкой IP-MAC-PORT, клиенту разрешено работать только после получения настроек сети по DHCP

Тоесть, клиент должен работать исключительно на своём порту, с единственным MAC-адресом и IP адресом, получив настройки по DHCP.
Любая самодеятельность клиента, а именно: смена MAC, IP, попытка прописать адреса статически, вирусные и програмные спуфинги должны пресекаться недопуском нарушителя в сеть.

Соответствующие строки конфигурации выглядели так:
1.
vlan111 - рассматриваемая сеть а 00-11-11-11-11-11 - MAC адрес шлюза

3.
1.1.1.1 IP адрес шлюза

4-5.


Куплен новый DES-3200-18 Fast Ethernet Switch Hardware Version A1, который был успешно обновлён до последней доступной Firmware Version Build 1.52.B009, но, к большому сожалению, при попытка перенести конфигурацию оконичлас Fail!'лом

Во-первых, свитч не понял команды enable address_binding arp_inspection
Во-вторых, свитч отказался исполнять
config address_binding ip_mac ports 1-16 state enable strict allow_zeroip enable forward_dhcppkt enable, ссылаясь на



Вопрос:
Имеется ли возможность настроить безопасную сеть на данной версии прошивки, учитывая требования, озвученые в списке 1-5

Просьба:
В случае неправильно созданой мною конфигурации посоветуйте, пожалуста, правильное решение.

Спасибо.

Пришлите мне на почту конфигурацию, которую вы применяете с версией 1.51.B007

На всех свичах длинк, которые я когда-либо встречал, Address-Binding и Port Security одновременно работать не могут, о чём свич вам и написал.

Посмотрел конфиг, вчитался в сообщение.
Вам не кажется, что проделанные вами действия - включение enable address_binding arp_inspection и включение на портах самого address_binding противоречит конфигу, приведенному вами же в пунктах 1 и 4-5?
Если у вас адреса раздаются по DHCP - то вам и нужен dhcp_snooping.
Пропадание arp_inspection связано с переходом на новую версию IMPB начиная с прошивки 1.52.B003.
Почитайте презентацию во вложении.

Спасибо, Artem!
Презентацию почитаю позже, на моей машине не оказалось PP.
Можно ли вместе с dhcp_snooping использовать port_security, и будет ли при его использовании защита от arp спуффинга?
Если Вам не сложно - приведите пожалуйста несколько строк конфига в качестве примера. Спасибо.

Почитайте презентацию - там есть и примеры, и ответ на ваш вопрос.

Прочитал пример. Получается, что я должен либо вручную прописать мак и адрес "на порт" командой
create address_binding ip_mac ipaddress <A> mac_address <A> port 1 либо использовать DHCP Snooping, без возможности автоматического (постоянного) закрепления MAC адреса за конкретным портом?
А автоматического изучения mac-адреса (/IP) с создания постоянного (т.е пока не будет удалено вручную) правила не предусмотрено?

Дело в том, что необходимо достаточно быстро подключать пользователя (как с автоматическим изучением port securit): Подключили, проверили, и работай хоть год, пока не будет удалён аккаунт на DHCP сервере?

Вбивать вручную команды create address_binding ip_mac ipaddress - слишком долго, а DHCP Snooping, насколько я понимаю, рабтая автоматически, выдаст безопасную связку нарушителю, подменившиму MAC на другом порту в отсутствие легального пользователя? Или же легальному пользователю будет создана статическая привязка, и нарушитель, в его отсутствие, не сможет воспользоваться сетью?

Извините, что я ищу готового решения, дело в том, что на тестирование у меня сейчас нет времени.

Спасибо.

Собрал стенд. Использовал пример из презентации.
К дефолтной конфигурации добавил строки:

enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1-16 limit 1
config address_binding ip_mac ports 1-16 state enable
config address_binding ip_mac ports 1-16 allow_zeroip enable

Подключил шлюз и DHCP сервер к 17-му, а "комп'ютер клиента" к первому порту, сеть заработала.
Имитируем злоумышленика, который заметил отключение абонента и решил воспользоваться поддельным MAC адресом: переподключаем тот же комп'ютер во второй порт, и... хакер получил желанный IP и всё работает: сеть взломана
Но задача состоит в том, чтобы не допустить этого!

Вот здесь как раз не хватает port_security ports 1-16 admin_state enable max_learning_addr 1 lock_address_mode Permanent, но Cannot enable port security on the port as it is IP-MAC port binding-enabled!

Как обойти?

Используйте relay и option82. С этой опцией Вы сможете контролировать к какому порту подключается компьютер пользователя

Спасибо, но это, к большому сожалению, не возможно в данном решении. В сети имеется множество коммутаторов без поддрежки opt 82. Сейчас решается вопрос о выборе оборудования, которое будет совместимо с сетью.

Вот пример решения задачи на оборудовании другого производителя:
Возможно ли подобное на D-Link? Интересует похожий результат.

andryas
То, что вы описали - подключение "злоумышленника" с тем же mac-address в другой порт - считается коммутатором переключением того же самого пользователя из одного порта в другой. И защищаются от этого именно применением Opt82 при использовании DHCP Relay.

К сожалению, "оборудования другого производителя" у нас на руках нет, да и приведенный конфиг мне ни о чем не говорит.

Последний вопрос.

Ограничение на совмесное использования port_security и address_binding dhcp_snoop идеологическое или аппаратное?
Иными словами, есть ли надежда на возможность отключения этого досадного ограничения в следующих версиях програмного обеспечения для возможности более гибкой настройки комутатора?

Нет, функционал меняться не будет

Спасибо большое!

Пожалуйста