wel Опубликовано 19 февраля, 2008 · Жалоба Привет Всем Есть сеть на 60 домов и на тупых свичах и потихоньку растет. Но уже сейчас наблюдаются всякие спуферы и т.д. Инет раздается по PPTP, клиенты получают по IP по DHCP... На домах 8-16-24 портовые свичи, по 1-2 штуки. На сервере стоит FreeBSD. Прочитал что arpwatch можно обьеденить со свичем и по SNMP протоколу закрывать доступ для спуфера. Меня интересует: 1.Уменьшение нагрузки на сеть. 2.Возможность отслеживать атаки Дополнительно: Избегать таких случаев, как: Кто-то в свич воткнул еще одного провайдера - сеть легла Кто-то занимается arp/ip-спуфингом, лягли роутеры/свичи, Я такое наблюдал с 6-8портовыми. Флуд в одной части сети ложит всю сеть на колени Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 19 февраля, 2008 · Жалоба dlink des-3010/3026/3028 на дома dlink des-3828 в центр, на нем сетку поделить на несколько л3 сегментов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user_anonymous Опубликовано 20 февраля, 2008 · Жалоба dlink des-3010/3026/3028 на дома... Есть мнение, что эти свичи очень не любят атмосферные явления типа гроз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 20 февраля, 2008 · Жалоба 3026 не любят. на 3028 статистики еще нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zarin Опубликовано 20 февраля, 2008 · Жалоба судя по начинки 3028, тоже буду дохнуть, обвязка разделительных трансов собрана по минимуму Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 20 февраля, 2008 · Жалоба вообще есть замечательная штука - Broadcast Storm Control, очень помогает. использую её на всех 100Мбитных портах DES-3526, каждый порт представляет собой ВЛАН с 1-4 домами (~20-30 юзеров) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wel Опубликовано 20 февраля, 2008 · Жалоба dlink des-3010/3026/3028 на домаdlink des-3828 в центр, на нем сетку поделить на несколько л3 сегментов Такой вопрос - пользователи в этих ланах(л3 сегментах) могут между собой обмениваться инфой?... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 20 февраля, 2008 · Жалоба А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого. А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность. и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wel Опубликовано 21 февраля, 2008 · Жалоба А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.Я вот чего не могу понять.http://ru.wikipedia.org/wiki/VLAN: VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них. Насколько Я понимаю вашу идею: Ставим везде L2 свичи, каждого пользователя кладём в VLan, в некоторых местах для обеспечения скорости, ставим L3 свичи или маршрутизаторы... Вопрос: Я имею три свича: С1,С2,С3. С2 и С3 подключены к С1. K С2 и С3 подключены пользователи из подсети 192.168.1.0/28 С1 - L3,a С2 и С3 - L2. Вопрос - пользователи могут между собой обмениваться инфой?Или всё зависит от того как настроить? ПС: Опиши ПЛЗ то что имелось в виду. А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого. Хм...Хотелось бы просто отделить каждый дом, максимум несколько домов в отдельный сегмент... В доме доходит до 50компов - 2*24портовых свича... dlink des-3010/3026/3028 на домаЕсть dlink des-2108, но если они не подходят, то скажите ПЛЗ :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BuHast Опубликовано 21 февраля, 2008 (изменено) · Жалоба А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность. и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого. DES-3028, 3526 - что мешает включить LBD, IPM-Binding, Broadcast shtorm Control? Изменено 21 февраля, 2008 пользователем BuHast Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 23 февраля, 2008 · Жалоба А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.Я вот чего не могу понять.http://ru.wikipedia.org/wiki/VLAN: VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них. Насколько Я понимаю вашу идею: Ставим везде L2 свичи, каждого пользователя кладём в VLan, в некоторых местах для обеспечения скорости, ставим L3 свичи или маршрутизаторы... Вопрос: Я имею три свича: С1,С2,С3. С2 и С3 подключены к С1. K С2 и С3 подключены пользователи из подсети 192.168.1.0/28 С1 - L3,a С2 и С3 - L2. Вопрос - пользователи могут между собой обмениваться инфой?Или всё зависит от того как настроить? смогут общатся, но через центральный сервер BRAS ПС: Опиши ПЛЗ то что имелось в виду. Все же достаточно просто, каждый абонент в своем VLAN и привязка IP, MAC не нужна, да и ARP читинг не работает - все пользователи в своих отдельных VLAN А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого. Хм...Хотелось бы просто отделить каждый дом, максимум несколько домов в отдельный сегмент... В доме доходит до 50компов - 2*24портовых свича... dlink des-3010/3026/3028 на домаЕсть dlink des-2108, но если они не подходят, то скажите ПЛЗ :) повторюсь привязка MAC/ IP и изоляция портов достоточно дорогое решение, если его строить правильно и что бы сеть была безопасной (никаких колец на L2 свичах) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 23 февраля, 2008 · Жалоба А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность. и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого. DES-3028, 3526 - что мешает включить LBD, IPM-Binding, Broadcast shtorm Control? LBD (а собственно петель то и не будет), Broadcast shtorm Control (а так это ничему не мешает) IPM-Binding - Включить можно плюс изоляцию портов и т.д., но это не помогает. В любом случае если будут кольца на L2 свичах и пользователи в одном VLAN, то рано или поздно найдется умный "хакер" и украдет все данные у пользователей в этом сегменте. Особенно будет весело когда кто-нибудь украдет данные кредиток все же давно написано http://www.xakep.ru/magazine/xa/068/060/3.asp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 24 февраля, 2008 · Жалоба О даааа, ща обоссусь от страха. Самое авторитетное издание о компьютерной безопасности - это безусловно журнал Херакер... IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 24 февраля, 2008 · Жалоба IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа... vlan per user, и попробуйте что нить ваще увидеть без разрешения :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 24 февраля, 2008 · Жалоба Согласен, но не всем нравится такая идеология... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wel Опубликовано 24 февраля, 2008 · Жалоба vlan per user, и попробуйте что нить ваще увидеть без разрешения :)Я уже спрашивал и еще раз спрошу где почитать про это или же ответьте сразу:В таких раскладах(vlan per useр) пользователи могут видеть друг друга в плане по сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
postuser Опубликовано 24 февраля, 2008 · Жалоба IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа... vlan per user, и попробуйте что нить ваще увидеть без разрешения :) Если коммутатор третьего уровня (который пользователей разных VLAN-ов соединяет) находится в ядре сети, как быть в случае, когда VLAN будет больше 4096? Эта идеология действует только в сетях с кол-ом клиентов <4000? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vanger_ Опубликовано 24 февраля, 2008 · Жалоба ставить несколько коммутаторов, для каждых 4х тысяч отдельный Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 26 февраля, 2008 · Жалоба О даааа, ща обоссусь от страха. Самое авторитетное издание о компьютерной безопасности - это безусловно журнал Херакер...IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа... и что? а если пользователей под 10 и более тысяч -? привязка в ручную, да и фильтры ARP не навсех свичах.Плюс все равно фильтрация ARP спасает не на 100% Я уже спрашивал и еще раз спрошу где почитать про это или же ответьте сразу:В таких раскладах(vlan per useр) пользователи могут видеть друг друга в плане по сети? Да никак они друг друга не видят, представьте что они в разных коммутаторах :) и увидят друг друга только через L3 свич или BRAS. Если Вы этого захотите :) Если коммутатор третьего уровня (который пользователей разных VLAN-ов соединяет) находится в ядре сети, как быть в случае, когда VLAN будет больше 4096? Эта идеология действует только в сетях с кол-ом клиентов <4000? используйте QinQ простой, но не очень удобный - будет 16 миллионов абонентов :) (правда траблов много, QoS будет на абонента, и все сервисы от абонента будут с одинаковым приоритетом, что убивает саму фичу) или QinQ selective - то 90 000+ не проблема на один сегмент, а если уже VLAN на сервисы давать (что правильнее), то 40 000 + сегмент. Столько достаточно? :) тут уже и с QoS все получше и с настройками все быстрее, да и в обслуживании проще. Фактически это QinQ VLAN на свич. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QstArt Опубликовано 19 марта, 2008 (изменено) · Жалоба В сетях vlan per user, геймеры восстание не поднимают? Для всех игр сервак не поднимешь. Хотя с vlan на дом тоже не фонтан для них. У D-link'а есть коммутаторы с QinQ /selective? ) Изменено 19 марта, 2008 пользователем QstArt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...