Jump to content

Как побороть подмену ip адреса шлюза?

alexs200
 Share

Recommended Posts

alexs200

alexs200

Posted
Posted

Здравствуйте. Начал кто то баловаться с ip адресами. И вот какая проблема, при подмене просто ip адреса клиентского, проблем не возникает особых. Находится мгновенно. А вот когда ставят ip шлюза, вся сеть ложится, невозможно зайти telnetom , SMTP. Раз вышло зайти с интрнета (реального адреса) и отключить сетевую, тогда ПОДМЕНУ вычислили. есть другие способы, ни физические, а софтовые?

Свичи 99% в сети управляемые -Nortel 450-350

SergeiK

SergeiK

Posted
Posted

Прежде всего надо разделять управляющую сеть и клиентскую. Тогда что-бы клиенты не творили - ну почти - вы сможете зайти на устройство.

Mikrotik

Mikrotik

Posted
Posted
Здравствуйте. Начал кто то баловаться с ip адресами. И вот какая проблема, при подмене просто ip адреса клиентского, проблем не возникает особых. Находится мгновенно. А вот когда ставят ip шлюза, вся сеть ложится, невозможно зайти telnetom , SMTP. Раз вышло зайти с интрнета (реального адреса) и отключить сетевую, тогда ПОДМЕНУ вычислили. есть другие способы, ни физические, а софтовые?

Свичи 99% в сети управляемые -Nortel 450-350

Фильтрация по IP тоже может помочь. Просто запрещать пакеты от клиентов с данным списком IP адресов
alexs200

alexs200

Posted
  • Author
Posted
Фильтрация по IP тоже может помочь. Просто запрещать пакеты от клиентов с данным списком IP адресов
Разве 450 нортел может фильтровать IP? BPS 2000 может вроде как. Если 450 может, то можно по подробнее здесь?

Если "от" клиентов запретить, то запретишь и "к" клиентам тоже ???? А значит пакеты от основного шлюза!!! или он понимает и разделяет Rx и Tx? или in и out?

Мы рассматривали вариант EAPOL сервис с привязкой ip к порту, но нет гарантии , что клиент сменить ip и он автоматом поменяется на свитче.

Радиус сервер клиент- есть варианты? проверка через радиус сервер порта при входе в сеть.

 

Админ сказал, что головняк сумасшедший будет, если свичи спрятать в ВЛАН. Особенно монтажникам с настройкой клиента, или выхода из строя одного свитча из цепочки.

 

\\\Фильтрация по IP или привязка IP и MAC к порту.\\\\\\\\

С МАК ом тоже не все так гладко. Есть у нас такое дело, вернее было. а потом возникли трудности при выгорании портов, ощущение, что шокер работает....

А пустые порты забивать МАКами типа 00,00,00,00,00... Есть подозрение, что Это КТО ТО получает доступ непосредственно к свичу в помещении.

 

\\\Вилан на клиента и забудьте о проблеме навсегда.\\\

К сожалению у нас не 100% управляющих свичей, есть и нетгиры и планеты ( на столбах вешаем, ящик 19" не повесишь в частном секторе)

 

\\\Прежде всего надо разделять управляющую сеть и клиентскую. Тогда что-бы клиенты не творили - ну почти - вы сможете зайти на устройство.\\\\\

 

Разделять подсетью или ВЛАНОМ? ВЛАНЫ у нас на провайдерских свитчах только и доступ по аккес лист, только через сервер на них можно зайти. а подсети конечно разные управление и клиентские.

 

Вобщем админ сказал, что почитает Ваши ответы и выберет возможный вариант. Но меня гложет мысль о том, что если решить проблему без вычисления, кто это делает, то позже могут возникнуть еще проблемы другого плана. Поэтому вариант с определением порта, хотя бы, откуда это происходит!!! самы предпочтительный, лижбы реальный был. и тогда можно и 100% быть уверенным,

что проблема локализована.

 

Всем спасибо за ответы. готовы выслушать еще варианты, или таковых уже ЁК?

gorec2005

gorec2005

Posted
Posted
Фильтрация по IP тоже может помочь. Просто запрещать пакеты от клиентов с данным списком IP адресов
Разве 450 нортел может фильтровать IP? BPS 2000 может вроде как. Если 450 может, то можно по подробнее здесь?

Если "от" клиентов запретить, то запретишь и "к" клиентам тоже ???? А значит пакеты от основного шлюза!!! или он понимает и разделяет Rx и Tx? или in и out?

Мы рассматривали вариант EAPOL сервис с привязкой ip к порту, но нет гарантии , что клиент сменить ip и он автоматом поменяется на свитче.

Радиус сервер клиент- есть варианты? проверка через радиус сервер порта при входе в сеть.

 

Админ сказал, что головняк сумасшедший будет, если свичи спрятать в ВЛАН. Особенно монтажникам с настройкой клиента, или выхода из строя одного свитча из цепочки.

 

\\\Фильтрация по IP или привязка IP и MAC к порту.\\\\\\\\

С МАК ом тоже не все так гладко. Есть у нас такое дело, вернее было. а потом возникли трудности при выгорании портов, ощущение, что шокер работает....

А пустые порты забивать МАКами типа 00,00,00,00,00... Есть подозрение, что Это КТО ТО получает доступ непосредственно к свичу в помещении.

 

\\\Вилан на клиента и забудьте о проблеме навсегда.\\\

К сожалению у нас не 100% управляющих свичей, есть и нетгиры и планеты ( на столбах вешаем, ящик 19" не повесишь в частном секторе)

 

\\\Прежде всего надо разделять управляющую сеть и клиентскую. Тогда что-бы клиенты не творили - ну почти - вы сможете зайти на устройство.\\\\\

 

Разделять подсетью или ВЛАНОМ? ВЛАНЫ у нас на провайдерских свитчах только и доступ по аккес лист, только через сервер на них можно зайти. а подсети конечно разные управление и клиентские.

 

Вобщем админ сказал, что почитает Ваши ответы и выберет возможный вариант. Но меня гложет мысль о том, что если решить проблему без вычисления, кто это делает, то позже могут возникнуть еще проблемы другого плана. Поэтому вариант с определением порта, хотя бы, откуда это происходит!!! самы предпочтительный, лижбы реальный был. и тогда можно и 100% быть уверенным,

что проблема локализована.

 

Всем спасибо за ответы. готовы выслушать еще варианты, или таковых уже ЁК?

может не совсем красиво, но можно еще со всего управляемого снимать по snmp общую картину мак-ов, и на каком-нить сервере вроде freebsd с двумя сетевыми-одна для подключения - одна для управления- обслужить кернел-евент смены мака на ip и с помощью snmp и всего управляемого блокировать acl-ями нежелательный мак... витиевато, но админ при желании разберется...

vIv

vIv

Posted
Posted
Админ сказал, что головняк сумасшедший будет, если свичи спрятать в ВЛАН. Особенно монтажникам с настройкой клиента, или выхода из строя одного свитча из цепочки.

Замените админа.

 

 

\\\Вилан на клиента и забудьте о проблеме навсегда.\\\

К сожалению у нас не 100% управляющих свичей, есть и нетгиры и планеты ( на столбах вешаем, ящик 19" не повесишь в частном секторе)

Зависит от соотношения стоимостей вашего рабочего часа и стоимости коммутаторов. Есть нормально управляемые и в 10" исполнении (стандартный коммунальный форм-фактор), - например RUBY ES-2310C. Это пример, у других вендоров тоже есть похожие железки.

A79

A79

Posted
Posted (edited)
Можно еще попробовать PPPoE агалог Vlan
лучше PPPoE упаковать в L2TP потом в отдельный влан :)

а если серьезно на клиентах arp -s ... самое простое решение

Замените админа.
подерживаю! Edited by A79
alexs200

alexs200

Posted
  • Author
Posted

можно сделать на нортелах тэгированный ВЛАН, ели между ними есть хотябы одна неуправляемая железка?

Вообще то я думаю у админа будет выбрать из всего, что вы здесь предложили. Спасибо Вам огромное за ответы.

Админа я уже одного заменил, поэтому пока рано второго, пусть послужит государству.

То что один админ делал 6 месяцев, этот за 5 мин сделал. А главное - ему нравится это дело!!! Я чувствую это.

alexs200

alexs200

Posted
  • Author
Posted

Спасибо. Мне сказали, что на каждом выходящем порту, у нас это оптический модуль, должна стоять метка по все цепи последовательных свичей. И если эта цепь прерывается (неуправляемый свич, порт без метки), то тэгированный ВЛАН не поднять.

SergeiK

SergeiK

Posted
Posted

Если неуправляемый свич не режет пакеты по 1500, а многие современных так не делают, то вланы через неуправляемые железяки будут ходить. Правда это доп. уязвимость, и так делать не рекомендуется.

 

И, при этом, клиентская сеть должна идти нетегированной, уж не знаю, умеют так Нортелы или нет.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.