sirmax Posted January 19, 2005 Posted January 19, 2005 Доброго времени суток, уважаемые ГУРУ! Итак, в бывшей домашней сети, а ныне маал-аленьком провайдере возникла следующяя проблема. В сети с подключением большого количества пользователей начали появлятся "кулхацкеры", которые пробуют менять себе IP с целью кражи интернета. Естественно, что пользователи недовольны, хотя до сих пор кражи успешно присекались таким простым средством как статическая арп-таблица на маршрутизаторе. Однако, очевидно, что что это только первый звонок, и долго ждать подменв маков не прийдется. Соответственно хотелось бы защитится от этой напасти. В качестве средства защиты я вижу только покупку управляемого коммутатора с ф-ями port security А теперь, внимание, вопрос! 1. Какой стоит выбрать коммутатор? Требования: порт-секьюрити, возможность записей таких событий в лог, управление по SNMP, надежность. Кол-во портов - 16-24. Очень желательно (хотя и не обязательно)возможность подключения оптических модулей. Пока думал в сторону Cisco Catalyst 2924-М-XL или 2950-24 Альтернатива? Бюджет - до $1000, причем ГОРАЗДО лучше что то около $600 2. Что можно посоветовать кроме установки "умного" коммутатора. ? (Про VPN знаю, использую, другие идеи?) Заранее спасибо за советы. Вставить ник Quote
vIv Posted January 19, 2005 Posted January 19, 2005 HP ProCurve 2524 - четыре сотни с чем-то, если не торговаться или меньше четырёх, если под операторские цены пролезть Пожизненная гарантия, две дырки под модули Вставить ник Quote
Guest Posted January 19, 2005 Posted January 19, 2005 посмотри: http://www.brownbear.ru/products.php?id_to...page_products=1 http://www.brownbear.ru/products.php?id_to...page_products=1 Подскажи, а как ты против arp-spoofing'a бороться-то хочешь с помощью таких коммутаторов. Кстати, вопрос актуальный - знает кто-нить какие коммутаторы умеют arp-spoofing detect делать? Вставить ник Quote
Roman Ivanov Posted January 19, 2005 Posted January 19, 2005 посмотри:http://www.brownbear.ru/products.php?id_to...page_products=1 http://www.brownbear.ru/products.php?id_to...page_products=1 Подскажи, а как ты против arp-spoofing'a бороться-то хочешь с помощью таких коммутаторов. Кстати, вопрос актуальный - знает кто-нить какие коммутаторы умеют arp-spoofing detect делать? Долго изучал вопрос. Реально превентить умееют ОЧЕНЬ дорогие (C45, C65). При том у всех вендеров они ОЧЕНЬ дорогие. На 2950T самое простое - port security(sticky на неделю)+IP ACL на порт+ ARPWatch на сервере. Далее просто. Если он делает Man in the Middle, то ARPWatch это находит, ACL не пускает ЧУЖОЙ IP траффик, подсеть - естественно падает. Т.е. Вместо Man In the Middle он делает ARP DDOS с кучей следов. Второе, что можно сделать - все порты изолировать через port protected. Но тогда ВЕСЬ локальный трафик - через arp_proxy. А это нагрузка на рутер. Но найти негодяя ОЧЕНЬ просто - второй раз он не захочет. Вставить ник Quote
ALIEN2002 Posted January 20, 2005 Posted January 20, 2005 Помоему проще сменить систему авторизации. Логин и пароль и кража трафика проблемы пользователя, а не провайдера. Хотя привязку МАС + IP забацать тоже можно, но смысла подменять МАС, если инет не достанется без пароля бесмысленно. Вставить ник Quote
sirmax Posted January 20, 2005 Author Posted January 20, 2005 Roman Ivanov Cпасибо за ответ. Вобщем-то я так и думал действовать, port security + ArpWatch Не совсем понимаю зачем на свитче ip acl. Если несложно, поясните этот момент плз, или ткните носом куда почитать Второе. Собственно, выбор свитча. Я решил не связыватся с "бюджетными" Длинк, остановив свой выбор на cisco Systems. как я понимаю, 2950-24 - мой выбор? Вставить ник Quote
Roman Ivanov Posted January 20, 2005 Posted January 20, 2005 Помоему проще сменить систему авторизации. Логин и пароль и кража трафика проблемы пользователя, а не провайдера. Хотя привязку МАС + IP забацать тоже можно, но смысла подменять МАС, если инет не достанется без пароля бесмысленно. Вы не совсем поняли о чем речь. Поясню. PPPoE (а других аналогов тут нет) это конечно хорошо. Но вот смотри. У меня в доме интернет у 70%. Из них 60% ничерта не понимают в компах. Даже ipconfig запустить не смогут. Сбить настройи PPPoE - просто. Идешь настраивать... Брать деньги? С нашей конкуренцией они убегут туда, где все просто и ничего не надо вводить. 4 прова в доме, цены +-30%. Им просто нужен инет для почты, газет, банка. ВСЕ. dhcp засекурить на 2950T можно ОЧЕНЬ хорошо. И как я описал, превентить man in the middle. А если уж arp ddos - то пофиг. Найду, сдам в полицию. Получит 3 года. Вставить ник Quote
Roman Ivanov Posted January 20, 2005 Posted January 20, 2005 > Не совсем понимаю зачем на свитче ip acl. Если несложно, поясните этот > момент плз, или ткните носом куда почитать http://www.cisco.com/en/US/products/hw/swi...008007e8ed.html Пишешь на ПОРТУ что если src ip не xx.xx.xx.xx - deny. IPX, ipv6 и прочее - проходить будет. Указанный ip - тоже. Остальное - нет. Т.е. если он сменит ip, то свитч его не пустит ;) > Собственно, выбор свитча. > Я решил не связыватся с "бюджетными" Длинк, остановив свой выбор > на cisco Systems. > как я понимаю, 2950-24 - мой выбор? Есть два варианта с SMI и EMI (прошивки). Апгрейдить их НЕЛЬЗЯ. На EMI есть вкусности: 1) policy shaping 2) 1000+vlans 3) advanced ACL (по протоколам и так далее) Вставить ник Quote
sirmax Posted January 20, 2005 Author Posted January 20, 2005 Помоему проще сменить систему авторизации. Логин и пароль и кража трафика проблемы пользователя, а не провайдера. Хотя привязку МАС + IP забацать тоже можно, но смысла подменять МАС, если инет не достанется без пароля бесмысленно. Естественно, проблема не только и не столько в краже. Ясное дело, VPN или другой способ авторизации основаный на стойком шифровании достаточно эффективно пресечет кражи. Но сам факт подмены неприятен тем, что создает неудобство пользователям, начинается хаотическая смена IP-адресов, и т.п. ерунда. Во вторых, можно просто вывести сеть из равновесия начав arp-flood (arp-poison), например с целью снифферить пароли. Вставить ник Quote
Guest Posted January 20, 2005 Posted January 20, 2005 Roman Ivanov Вопросы: Зачем вам policy shaping на каталисте, если он сделан софтом и если его включить, то свич из коммутатора превращается в маршрутизатор, теряя свою производительность? Зачем вам 1000 VLAN? Что с ними можно полезного такого сделать? Вставить ник Quote
Roman Ivanov Posted January 20, 2005 Posted January 20, 2005 > Зачем вам policy shaping на каталисте, если он сделан софтом и если > его включить, то свич из коммутатора превращается в маршрутизатор, > теряя свою производительность? Ерунду несете ;) На 2950T policy shaping - hardware. При нагрузке ~ 50 Mbit было 2% CPU. Без нагрузки - 2% CPU ;) маршрутизатор - это другое ;) Это уже 3550. > Зачем вам 1000 VLAN? Что с ними можно полезного такого сделать? Я указал как вкусность. Несколько провайдеров в городе есть, кому 1000 - мало. Вставить ник Quote
sirmax Posted January 20, 2005 Author Posted January 20, 2005 Roman Ivanov Спасибо за толковые советы. Пошел искать catalyst ЗЫ Может кто предложет used? Вставить ник Quote
Roman Ivanov Posted January 20, 2005 Posted January 20, 2005 Roman IvanovСпасибо за толковые советы. Пошел искать catalyst ЗЫ Может кто предложет used? Nag ? ;) Ауууу. Вставить ник Quote
Roman Ivanov Posted January 20, 2005 Posted January 20, 2005 Roman IvanovСпасибо за толковые советы. Пошел искать catalyst ЗЫ Может кто предложет used? Забыл сказать. Можно держать 16 свитчей на одном IP. Админить проще намного. Вставить ник Quote
Прохожий Posted January 20, 2005 Posted January 20, 2005 Интересно, а 802.1x никто не пробовал применять? Тут совсем все становится жестко - авторизация по логину-паролю через Радиус в момент поднятия интерфейса на уровне 2, и обойти это не видитс возможным. По-моему 802.1x поддерживается в делинках (3226S, например) и аналогичных коробках. Вставить ник Quote
vIv Posted January 20, 2005 Posted January 20, 2005 после чего порт становится ОТКРЫТ весь целиком Вставить ник Quote
Nag Posted January 20, 2005 Posted January 20, 2005 Может кто предложет used? http://4isp.ru ЗЫ. А мне нортели нравятся все больше и больше. ;-) Через недельку покручу живьем их BPS 2000... Как замену 2950Т. Вставить ник Quote
sirmax Posted January 20, 2005 Author Posted January 20, 2005 ЗЫ. А мне нортели нравятся все больше и больше. ;-)Через недельку покручу живьем их BPS 2000... Как замену 2950Т. расскажите о впечатлениях.? А что буковка "Т" означает в названии модели? PS Мне предложили новый 2950-25 SI за $650 .... PPS Может пора FAQ сделать по проблеме, я думаю что не только у меня есть такие сложности... Вставить ник Quote
Roman Ivanov Posted January 20, 2005 Posted January 20, 2005 Интересно, а 802.1x никто не пробовал применять? Тут совсем все становится жестко - авторизация по логину-паролю через Радиус в момент поднятия интерфейса на уровне 2, и обойти это не видитс возможным. По-моему 802.1x поддерживается в делинках (3226S, например) и аналогичных коробках. А потом делай что угодно ;) Гимор. Вставить ник Quote
repa Posted January 21, 2005 Posted January 21, 2005 Прохожий, от 802.1x не защитит от некоректного поведения пользователя. Он только дает, или недает доступ в сеть пользователю. А вот аутентификация в 802.1x может быть очень даже на высоте (EAP-TLS). Кроме того, нелегальный пользователь может получить доступ на таком коммутаторе во время работы легального пользователя. Но это из разряда теории. Технологии для применения это статическая MAC таблица, VLAN на пользователя, аксес листы на коммутаторе. Вставить ник Quote
Прохожий Posted January 21, 2005 Posted January 21, 2005 Прохожий, от 802.1x не защитит от некоректного поведения пользователя. Он только дает, или недает доступ в сеть пользователю. А вот аутентификация в 802.1x может быть очень даже на высоте (EAP-TLS). Кроме того, нелегальный пользователь может получить доступ на таком коммутаторе во время работы легального пользователя. Но это из разряда теории. Технологии для применения это статическая MAC таблица, VLAN на пользователя, аксес листы на коммутаторе. Весь вопрос в однозначности идентификации юзера. Полная однозначность достигается только тогда, когда юзер идентифицируется по порту, потому что для подделки этого надо физически переткнуть. То есть в схеме юзер=вилан на терминирующем устройстве идентификатором абонента служит тег 802.1q, тогда проблемы нет в принципе. Но возникает проблема производительности терминирующего устройства. Короче, куда не плюнь - всюду клин :))))) Вставить ник Quote
Guest Posted January 21, 2005 Posted January 21, 2005 Лучше вместо 2950 поищите 3550-24 или 3550-48. Выйдет ненамного дороже, особенно за юзаные, а вкусностей намного больше. Вставить ник Quote
Shiva Posted January 22, 2005 Posted January 22, 2005 Roman Ivanov, Берём Dlink 3526 или классом по выше, ставим ACL, что никуда ломится не надо, далее после авторизации по 802.1х прога по SNMP настраивает ACL так как надо. В этом случае можно поддерживать роуминг пользователей и много других вкусностей. Вставить ник Quote
Roman Ivanov Posted January 22, 2005 Posted January 22, 2005 Roman Ivanov, Берём Dlink 3526 или классом по выше, ставим ACL, что никуда ломится не надо, далее после авторизации по 802.1х прога по SNMP настраивает ACL так как надо. В этом случае можно поддерживать роуминг пользователей и много других вкусностей. За такие деньги, я лучше оставлю 2950T. Наелся я Edimax, TrendNet, Dlink. Хочется немного спокойствия ;) Вставить ник Quote
sirmax Posted January 22, 2005 Author Posted January 22, 2005 Лучше вместо 2950 поищите 3550-24 или 3550-48. Выйдет ненамного дороже, особенно за юзаные, а вкусностей намного больше. Ненамного, раза в 3 как минимум Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.