Jump to content
Калькуляторы

Защита от кражи трафика при IP Unnumbered схема vlan на коммутатор

Добрый день, коллеги.

Начинаем переходить на IP unnumbered. Адреса раздаем по DHCP, релеем и точкой терминирования абонентов выступает C3750. Схема vlan на коммутатор выбрана из соображения того, что большая часть коммутаторов имеет следующий функционал, который и планируется использовать:

Есть: 802.1Q + Port Isolation + DHCP Snooping

Нет: IP Source Guard + QinQ + не пропускают пакеты QinQ (MTU изменить нельзя)

 

Все остальные свичи умеют всё вышеперечисленное и даже больше. Правильно ли я понимаю, что IP Source Guard нужен только для защиты от IP Spoofing'а и кража трафика без него невозможна? Очень не хочется возиться с ACL, чтобы разрешать на порту только трафик с определенного IP.

Share this post


Link to post
Share on other sites

не будет никакой кражи при правильной opt82

просто не использовать poll на аннамбереде, а использовать dhcp snooping + dhcp relay непосредственно на циске

либо влан пер юзер, тогда вешайте опт82 где угодно

Share this post


Link to post
Share on other sites

Забыл уточнить, что используем привязку по MAC вместо opt82, но думаю значения это не имеет в данном случае. dhcp relay и dhcp snooping включены на циске. Вот типовой пример настройки vlan интерфейса:

 

interface Vlan105
description dhcp-test
ip unnumbered Loopback1
ip helper-address 192.168.4.18
no ip redirects
no ip unreachables
ip local-proxy-arp
ip route-cache same-interface
end

Share this post


Link to post
Share on other sites

Самое правильное это работа без привязок по макам, но с контроля маков у абонентов. То есть если у абоненты был один мак, потом стал другой, значит абонент сменил роутер или компьютер. Тут привязка лишний повод звонка в техподдержку. Если же на кабель абонента кто-то сядет, абонент заметит и пожалуется. Такая ситуация может быть в случаях, когда абонент редко пользуется интернетом, а в момент его отсутствия кто-то подключил его кабель.

Share this post


Link to post
Share on other sites

Зачем? О_о

 

Как зачем? специально или по ошибке, а может монтажники другого провайдера кабель перепутали. Вот чужой человек и пользуется интернетом. Потом основной клиент жалуется и проверяют его порт, говорят что все ок и начинаются веселые разбирательства, когда приходят к абоненту, видят что у него линка нет, проверяют все щитки на предмет где обрыв. То есть тратят много времени.

Share this post


Link to post
Share on other sites

Соорудил тест на стенде. Ноутбук и роутер в одном вилане на одном коммутаторе. Каждый получает свой IP по DHCP. Вот тут если на ноутбуке прописать IP адрес роутера, то можно спокойно работать. Особенно если с роутера почти нет никакой активности.

Включил на циске arp inspection и всё. Больше таким образом нельзя работать.

 

Привожу конфиг циски

!
ip dhcp snooping vlan 105,107,124,153,158
ip dhcp snooping information option allow-untrusted
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 105,107,124,153,158
!
interface Loopback1
ip address 10.1.X.1 255.255.224.0 secondary
ip address 91.X.X.X 255.255.252.0
!
interface Vlan105
description dhcp-test
ip unnumbered Loopback1
ip helper-address 192.168.4.18
no ip redirects
no ip unreachables
ip local-proxy-arp
ip route-cache same-interface
!
interface Vlan107
ip unnumbered Loopback1
ip helper-address 192.168.4.18
no ip redirects
no ip unreachables
ip local-proxy-arp
ip route-cache same-interface
!
interface Vlan124
ip unnumbered Loopback1
ip helper-address 192.168.4.18
no ip redirects
no ip unreachables
ip local-proxy-arp
ip route-cache same-interface
!
interface Vlan153
ip unnumbered Loopback1
ip helper-address 192.168.4.18
no ip redirects
no ip unreachables
ip local-proxy-arp
ip route-cache same-interface
!
interface Vlan158
ip unnumbered Loopback1
ip helper-address 192.168.4.18
no ip redirects
no ip unreachables
ip local-proxy-arp
ip route-cache same-interface
!

 

Я не придумал еще способов как можно поюзать чужой трафик, кроме как прописать себе чужой MAC адрес, но это уже довольно сложно будет вычислить наобум.

Edited by crank

Share this post


Link to post
Share on other sites

Включил на циске arp inspection и всё. Больше таким образом нельзя работать.

 

Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта.

Share this post


Link to post
Share on other sites

Включил на циске arp inspection и всё. Больше таким образом нельзя работать.

 

Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта.

 

А есть же некий механизм хранения лиз на tftp сервере. Если я не ошибаюсь, конечно.

Share this post


Link to post
Share on other sites

Если ребутнется коммутатор, то все подключенные от него абоненты, кторые ранее получили IP по DHCP, будут обязаны вручную переполучить адреса, т.к. коммутатор "забудет" привязку после рестарта.

 

А есть же некий механизм хранения лиз на tftp сервере. Если я не ошибаюсь, конечно.

Есть конечно и оно работает - привязки IP - MAC востанавливаються при рестаре.

Но при ip unnumbered свичу нужно еще прописывать маршруты (VLAN) до конкретного IP. А эта инфра НЕ ВОСТАНАВЛИВАЕТЬСЯ при загруке лиз с FTP.

К сожалению, наш случай :(

Поэтому следим за хорошим питанием циски и забываем команду reload ;-)

Share this post


Link to post
Share on other sites

Что то вы изобретаете, если авторизация по маку, тогда достаточно изоляцию портов сделать и все. В арп таблице абонента будет пусто.

Или авторизация по IP? Если так, то проще сделать авторизацию по маку или использовать vlan-per-user или opt 82.

Share this post


Link to post
Share on other sites

Что то вы изобретаете, если авторизация по маку, тогда достаточно изоляцию портов сделать и все. В арп таблице абонента будет пусто.

Или авторизация по IP? Если так, то проще сделать авторизацию по маку или использовать vlan-per-user или opt 82.

Использую авторизацию по маку + изоляцию портов. Сам считаю, что этого должно быть достаточно, но решил проконсультироваться правильно ли я всё понял.))

Share this post


Link to post
Share on other sites

Запилите MAC+VLAN, тогда кражи трафика не будет

Прибежал легальный МАС, но на счету нет денег, белый IP не выдаем

Прибежал легальный МАС, на счету есть деньги, но мак не со своего VLAN, белый IP не выдаем (если параноик, можете запилить notification)

Share this post


Link to post
Share on other sites

У вас нет проблем с "ip route-cache same-interface"?

У меня какой-то феерический глюк - перетыкаю абона в другой порт - все остальные отваливаються в том-же влане, что и первый клиент до переполучения адреса

Вернул "ip route-cache cef" - вроде пока глюков нету..

Share this post


Link to post
Share on other sites

если подмена MAC + IP то только авторизация по порту

либо влан на юзера и авторизация по терминирующей железке + номер влана или q-in-q и авторизация по svlan + cvlan + по терминирующей железке (аля remote-id)

а опция 82 содержит много инфы, можно авторизовать по опции 82 и вытягивать из нее только мак и remote-id таким образом терминирующая железка либо свитч доступа + мак абона, тоже не годится

Share this post


Link to post
Share on other sites

У вас нет проблем с "ip route-cache same-interface"?

У меня какой-то феерический глюк - перетыкаю абона в другой порт - все остальные отваливаються в том-же влане, что и первый клиент до переполучения адреса

Вернул "ip route-cache cef" - вроде пока глюков нету..

Такого глюка пока не замечал. Порт вы меняете на терминирующей железке или на доступе?

 

А что мешает сделать vlan per user? Оно фактически даже проще этих хитрых схем с изоляциями и привязками.

В моем случае это сделать проблемно, т.к. не получиться поднять QinQ (доступ этого не умеет. см. первый пост), а без этого виланы быстро закончатся.

 

В общем схема vlan на свич, и будем считать что переделать на что-то другое нет возможности.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.