[[anp/hsw]]

Собственно, возник вопрос: а возможна ли? Не является ли это вектором атаки, от которого трудно защититься?

 

Понятно, что должны совпасть несколько условий:

1. Злоумышленник знает, в каком формате эта опция передается в биллинг (не так уж сложно, если в биллинге где-нибудь в статистике это можно посмотреть, либо если свич имеет 1-2 возможных варианта выдачи такой опции)

2. Поле circuit-id не должно быть перезаписано/модифицировано на транзите. Тоже далеко не в каждом мануале написано, что будет делать коммутатор, если такая опция в пакете уже есть - пропустит, допишет в конец свою, отбросит пакет)

3. Эта опция должна служить для авторизации пользователя, а не просто писаться в лог.

[purecopper]

На D-Link есть Option 82 policy. В соответствие с ней можно делать Replace/Drop/Keep на порту.

[rz3dwy]

для dlink:

http://forum.nag.ru/forum/index.php?showtopic=41007&view=findpost&p=843760

[[anp/hsw]]

На D-Link есть Option 82 policy.

А вот на eltex и SNR что-то не найду. Вот и возникли сомнения.

[pppoetest]

На СНР'ках есть возможность указать траст порты:

ip dhcp snooping trust

[alibek]

Да эта функция в том или ином виде везде есть.

Если сконфигурировано правильно, то подделать circuit-id простому пользователю невозможно.

[s.lobanov]

На всех свичтах, что я видел и где есть opt82 insertion есть полиси rewrite и пофиг что там абонент прислал

[[anp/hsw]]

То же можете сказать и про pppoe circuit-id?

А то я сейчас гуглю, и dhcp opt82 в свичах более документирован, хотя смысла в наш век от него уже немного - ipv6 все-таки наступает.

Но если rewrite, то можно сорвать логику, например, прислав две 82 опции в одном пакете, ну и вообще, атаковать сам парсер dhcp, авось чего выйдет.

[s.lobanov]

' timestamp='1465220287' post=1289319]

ну и вообще, атаковать сам парсер dhcp,

 

вот поэтому я всегда и говорю, что сложные софт-фичи на свитчах это ошибка дизайна. Да, эти парсеры пишут, чаще всего криворукие индусы и китайцы и я видел креши свитчей при подобных разборах dhcp опций, PADI-пакетов, LLDP и прочего. И при том эти креши специально никто не хотел, реальное нижестоящее устройство слало то, что приводил свитч к ребуту.

 

относительно pppoe circuit-id, тоже самое, там где видел её была policy rewrite

[rdc]

какой смысл использовать пппое с умным свичом?

 

а для dhcp есть банальное решение - влан на каждого хомячка.

vlan id не подделаешь, а от свича это вообще никакого ума не требует, работает аппаратно.

[[anp/hsw]]

какой смысл использовать пппое с умным свичом?

Хоть какая-никакая авторизация (где надо - запросим пароль, где не надо - авторизуем по circuit-id), с dhcp же - кто воткнул, тот и работает, без разбору (или к маку привязывать, что уже моветон).

Кроме того, я не помню, как решается проблема аккаунтинга при перезагрузке dhcp-сервера - насколько я понимаю, в accel-pptp эту проблему так и не решили.

 

vlan id не подделаешь

Это спорное утверждение. Видел много свичей, где по дефолту ingress filtering выключен. Хоть интернет и не получить, но дел можно натворить.

[s.lobanov]

какой смысл использовать пппое с умным свичом?

 

 

Какое это имеет отношение к топику? Срача на тему pppoe vs ipoe dhcp в других темах полно