D-Link • Просмотр темы - Защита от DHCP на DES-3528

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Защита от DHCP на DES-3528

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 16 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

-LOS-

Заголовок сообщения: Защита от DHCP на DES-3528

Добавлено: Пт янв 10, 2014 16:17

Зарегистрирован: Пт сен 07, 2012 14:14
Сообщений: 24

Есть сеть. В центре DGS-3420-26SC, от него подключены DES-3528. На DES-3528 настроена защита от левых DHCP серверов http://dlink.ru/ru/faq/62/198.html Но если включить обратной стороной роутер например в 22 абонентский порт то всем пользователям сети начинаю раздаваться ip-адреса. Что не так?

Вот конфиг:

Цитата:

create access_profile profile_id 4 profile_name 4 ip udp src_port_mask 0xFFFF
config access_profile profile_id 4 add access_id 1 ip udp src_port 67 port 25-26 permit
config access_profile profile_id 4 add access_id 2 ip udp src_port 67 port 1 deny
config access_profile profile_id 4 add access_id 3 ip udp src_port 67 port 2 deny
config access_profile profile_id 4 add access_id 4 ip udp src_port 67 port 3 deny
config access_profile profile_id 4 add access_id 5 ip udp src_port 67 port 4 deny
config access_profile profile_id 4 add access_id 6 ip udp src_port 67 port 5 deny
config access_profile profile_id 4 add access_id 7 ip udp src_port 67 port 6 deny
config access_profile profile_id 4 add access_id 8 ip udp src_port 67 port 7 deny
config access_profile profile_id 4 add access_id 9 ip udp src_port 67 port 8 deny
config access_profile profile_id 4 add access_id 10 ip udp src_port 67 port 9 deny
config access_profile profile_id 4 add access_id 11 ip udp src_port 67 port 10 deny
config access_profile profile_id 4 add access_id 12 ip udp src_port 67 port 11 deny
config access_profile profile_id 4 add access_id 13 ip udp src_port 67 port 12 deny
config access_profile profile_id 4 add access_id 14 ip udp src_port 67 port 13 deny
config access_profile profile_id 4 add access_id 15 ip udp src_port 67 port 14 deny
config access_profile profile_id 4 add access_id 16 ip udp src_port 67 port 15 deny
config access_profile profile_id 4 add access_id 17 ip udp src_port 67 port 16 deny
config access_profile profile_id 4 add access_id 18 ip udp src_port 67 port 17 deny
config access_profile profile_id 4 add access_id 19 ip udp src_port 67 port 18 deny
config access_profile profile_id 4 add access_id 20 ip udp src_port 67 port 19 deny
config access_profile profile_id 4 add access_id 21 ip udp src_port 67 port 20 deny
config access_profile profile_id 4 add access_id 22 ip udp src_port 67 port 21 deny
config access_profile profile_id 4 add access_id 23 ip udp src_port 67 port 22 deny
config access_profile profile_id 4 add access_id 24 ip udp src_port 67 port 23 deny
config access_profile profile_id 4 add access_id 25 ip udp src_port 67 port 24 deny
config access_profile profile_id 4 add access_id 26 ip udp src_port 67 port 27 deny
config access_profile profile_id 4 add access_id 27 ip udp src_port 67 port 28 deny

Вернуться наверх

RDC

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вс янв 12, 2014 13:40

Зарегистрирован: Вс май 22, 2005 10:19
Сообщений: 895
Откуда: Moscow

всё гораздо проще:
config traffic_segmentation 1-24,27-28 forward_list 25-26

Вернуться наверх

-LOS-

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вс янв 12, 2014 14:15

Зарегистрирован: Пт сен 07, 2012 14:14
Сообщений: 24

Про трафик сегментэйшн я знаю. Но применять его пока что не хотим. Нужна именно фильтрация DHCP. Свое DHCP пока что не применяем, пользователи подключены по PPPoE. Больше всего странно что конфиг взят из длинковского F.A.Q., но он не работает.

Вернуться наверх

RDC

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вс янв 12, 2014 15:32

Зарегистрирован: Вс май 22, 2005 10:19
Сообщений: 895
Откуда: Moscow

изоляция с помощью acl - тупиковый путь. всё равно абоненты наткнутся на способ испортить жизнь соседу.

простейшей вариант - соединить двух пппое провайдеров одним домашним свичом, после чего соседи с вероятностью 50% начинают соединяться по пппое не с тем провайдером и жалуются на сообщения о неправильном пароле.
второй вариант - устроить петлю. тогда перестанет проходить PADI и пппое у соседей не будет соединяться.
и так далее. конечно, можно ковырять acl на каждый конкретный случай, но всё равно всё не перекроешь.

traffic_segmentation всё это решает кардинально

Вернуться наверх

-LOS-

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вс янв 12, 2014 15:51

Зарегистрирован: Пт сен 07, 2012 14:14
Сообщений: 24

Я это понимаю, но все же не ясно почему рабочий конфиг из F.A.Q. у меня не работает?
Так же в веб интерфейсе есть DHCP Server Screening, это по моей теме или нет?

Вернуться наверх

DeLLtRoy

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вс янв 12, 2014 22:57

Зарегистрирован: Сб авг 04, 2007 13:42
Сообщений: 116

Прошивка какая?

Вернуться наверх

Ivan E.

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Пн янв 13, 2014 01:43

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск

DHCP Server Screening - это по вашей теме.

config filter dhcp_server ports 1-24,27-28 state enable

ACL, который вы описали, может не работает потому что включен релей, и если релей включен то запросы dhcp попадают в CPU, и что бы их убивать надо пользоваться CPU ACL. Или у вас старый багливый софт.

Вернуться наверх

-LOS-

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вт янв 14, 2014 02:46

Зарегистрирован: Пт сен 07, 2012 14:14
Сообщений: 24

DHCP Relay не включен. Firmware Version Build 3.00.012.

Вернуться наверх

-LOS-

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вт янв 14, 2014 12:37

Зарегистрирован: Пт сен 07, 2012 14:14
Сообщений: 24

Попробовал включить DHCP Server Screening, не работает.
В логах пишет:

Цитата:

Detected untrusted DHCP server (IP: 0.0.0.0, Port: 1)
Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<192.168.137.1>, MAC:, Port<1>)

И все равно раздаются адреса.
На этом же порту применяется IP-MAC-Port Binding (IMPB) с привязками адресов и маков на определенный порт. Но и при таком же раскладе адреса продолжают раздаваться.

Вернуться наверх

DeLLtRoy

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вт янв 14, 2014 13:17

Зарегистрирован: Сб авг 04, 2007 13:42
Сообщений: 116

Обновите прошивку, для начала.

Вернуться наверх

-LOS-

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вт янв 14, 2014 13:29

Зарегистрирован: Пт сен 07, 2012 14:14
Сообщений: 24

DES-3528 ftp://ftp.dlink.ru/pub/Switch/DES-3528/Firmware/
DGS-3420 ftp://ftp.dlink.ru/pub/Switch/DGS-3420% ... /Firmware/

Стоят эти, новее нет.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вт янв 14, 2014 13:33

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

На DES-3528 вот эту прошивку стоит использовать: https://cloud.dlink.ru/owcl/public.php?service=files&t=a6377f0c92f011d43fa7188e6b11e0b2&download
Кроме того, у Вас IMPB в режиме ACL?

Вернуться наверх

-LOS-

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Вт янв 14, 2014 15:43

Зарегистрирован: Пт сен 07, 2012 14:14
Сообщений: 24

Не работает.
Прошивку обновил. IMPB в ACL и было.

Вернуться наверх

-LOS-

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Пн янв 20, 2014 12:34

Зарегистрирован: Пт сен 07, 2012 14:14
Сообщений: 24

Мне все еще нужна помощь. Может быть еще какую нибудь информацию предоставить?

Вернуться наверх

smithy1208

Заголовок сообщения: Re: Защита от DHCP на DES-3528

Добавлено: Ср фев 05, 2014 15:36

Зарегистрирован: Вт авг 02, 2011 08:10
Сообщений: 69

У нас DES-3200-28.

Не отрабатывает DHCP_SERVER_SCREENING. Сообщение в log-е появляется, например:
1367 2014-02-05 14:17:55 Detected untrusted DHCP server(IP: 172.20.64.223, Port: 4)

Но адреса "злоумышленник" продолжает раздавать адреса.

Настройки:

Код:

# DHCP_SERVER_SCREENING

config filter dhcp_server ports 1-24 state enable
config filter dhcp_server ports 25-28 state disable
config filter dhcp_server illegal_server_log_suppress_duration 5min
config filter dhcp_server trap enable

config filter dhcp_server log enable

Вернуться наверх

Страница 1 из 2

[ Сообщений: 16 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 33

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения