3com. Как организовать защиту от вредителей?

[SergDM]

Приветствую!

Досталась мне в наследство такая сетка - 300-400 компов через тучу свичей ноунейм в самых любопытных местах, которые все ,в конечном итоге, приходят на свич 3com5500EI , от него идет оптика к провайдеру, у провайдера стоит циска которая дает инет... сеть довольно беспокойная, сесть на ип соседа и накачать за его счет желающие бывают относительно часто...

Нужно хоть как-то от этого защититься. Самое интересное, что циску почему-то трогать нельзя ) Сама циска ничего не делает кроме роутинга.

 

Стал смотреть что может этот триком... И никак не могу понять что же именно надо ) Так как впн и прочие радости жизни отпадают, стал смотреть в сторону богомерзкой привязки "ип-мак"...

 

Есть там такая штука - таблица привязок пар ип-мак к порту. Вроде как тру, работает на ура но выплыли такие особенности - больше одного ипа к маку железка привязать не дает, а у некоторых несколько ипов на одном интерфейсе.. А так как при включении защиты на порту свич пропускает только указанных в списке, приходится отрубать защиту на некотрых портах.. ана них еще дофига народу... И более того, такая привязка жрет ресурсы ацл которые и так не безграничны.. вобщем - не айз.

 

Из других вариантов ,не требующих клиентских настроек и программ, нашел только статичное заполнение арп таблицы, привязка маков к порту (но без айпи -_-) и некий мак-авторизейшн, в котором свич при появлении нового мака спрашивает о нем радиус сервер (ну или ищет среди локальных юзеров).. вот только про ипы там опять ни слова -_-

 

Может кто-нибудь работал с похожими схемами и может что-нибудь посоветовать?

Сражу скажу - бюджета на закупку нет никакого, тоесть все имеющимися силами (читай трикомом -_-)

Максимум что можно будет сделать - собрать какой-нить комп из вторсырья, вот только вариант сделать из него шлюз отпадает - нагрузка магистрали минимум 20мбит, в среднем около 40, а иногда и до 80 подскакивает... На нормальный шлюз денег никто не даст )

 

 

[woddy]

кто зарабатывает деньги? провайдер? билинг тоже у него?

тогда тебе это зачем?

 

объясни свой интерес тогда будем искать решение

[Vanger_]

как провайдер трафик то юзерам считает? всем розданы статические внешние ипы?

[SergDM]

Интерес ,естественно, денежный - заплатят мне за это немного (если выйдет ))) Но так как я в этом деле не спец, решил спросить тут.. вот и весь интерес.. ))

Ситуация простая:

биллинг стоит у провайдера. каждому юзверю статический маршрутизируемый адрес.

 

Не совсем понятен вопрос про " кто зарабатывает деньги?" )

Схема такая, хозяева полуофисного здания сами дают своим арендаторам (и ряду "левых" типов ) линк от провайдера (по своей кабельной сети и своему оборудованию) , и сами берут с них деньги на основе данных предоставленных провом(естественно немного "подправленные" )) . За "порядком" на своем сегменте тоже следят сами ) Точнее раньше вообще не следили, а теперь пошли жалобы и зачесались ) Вся схема кустарна и завязана большими неофициальными отношениями, такчто деньги зарабатывают все кому не лень )

Но это все не принципиально имхо, вопрос-то в другом )

 

Я так подумал, если потихоньку менять свичи на что-то дешевое но умеющее вланы и транковые порты, то можно будет попробовать дать по влану на клиента и биндить маки на абонентских свичах... тогда вроде как должно стать гораздо культурнее ) сейчас смотрю свичи и что-то теряюсь.. уж больно везде все както неразвернуто написано )

Вопрос такой - если у меня влан на клиента до самого выхода на прова, и арп таблица в абонентском свиче забита жестко, то даже если клинет поменят мак или ип, то к нему в любом случае ничего в ответ не придет, тоесть он будет в "отрубе" ? или нет?

 

 

[alcool]

и маки и арп адреса меняются пользователями на раз. если хочешь навести порядок без замены свитчей - нужно вводить пптп или пппое.

на существующем оборудовании ничего ты сделать вменяемого не сможешь.

если хочешь полумеру - привязать ип к макам по портам имеющейся железке - ставь софтроутер. благо сейчас компутеры дешевые.

 

[Allied]

1. Провайдер маршрутизирует подсеть выделяемых адресов на Ваш роутер.

2. Из вторсырья собераешь комп, далее поднимаешь на нём DHCP сервак + можно поиграться с разными опциями, к примеру 82-й (нужно смотреть по функционалу коммутатора).

3. У всех клиентов настраиваешь подключение по DHCP (намного бистрее, чем поднимать тунели).

4. Получаешь нормальную (не отличную) сеть, деньги и возможность контролировать сеть.

[prohodimec]

DHCP не спасёт от желающих воровать чужие айпишники и мак-адреса.

[SergDM]

1. Провайдер маршрутизирует подсеть выделяемых адресов на Ваш роутер.

2. Из вторсырья собераешь комп, далее поднимаешь на нём DHCP сервак + можно поиграться с разными опциями, к примеру 82-й (нужно смотреть по функционалу коммутатора).

3. У всех клиентов настраиваешь подключение по DHCP (намного бистрее, чем поднимать тунели).

4. Получаешь нормальную (не отличную) сеть, деньги и возможность контролировать сеть.

А если какой-нить лось воткнет свой роутер лан стороной в сеть? (прецендентов много) А дхцп по умолчанию почти везде включен...

Как дхцп сервера поступают в таких ситуациях?

[Мартен]

А если какой-нить лось воткнет свой роутер лан стороной в сеть? (прецендентов много) А дхцп по умолчанию почти везде включен...

Как дхцп сервера поступают в таких ситуациях?

бардак будет, вот что.

от какого дхцп ответ придет первым, от того клиент айпи и получит.

имхо, только сеть на полностью управляемом оборудовании спасет ситуацию.

[Allied]

Какой бардак? Я же писал - ...можно поиграться с разными опциями...

Я подал идею, а не точное руководство к действию. Если идея понравилась Вам, тогда готов ответить:

Защита от левого DHCP сервера и от воровства чужого адреса - DHCP снупинг. Чем умнее коммутатор, тем эффективней реалицован функционал DHCP снупинга.

[prohodimec]

То бишь до тех пор, пока на всех узлах не будут стоять управляемые железки с возможностью привязок IP-мас, DHCP-снупинга или даже фильтрацией трафика - сеть остаётся беззащитной.

DHCP-снупинг позволит защититься от левых DHCP, а не от левых мак-адресов и айпишников.

О чём и было сказано выше.

А когда везде стоит такое оборудование - DHCP уже абсолютно ни на что не влияет, только на удобство самих пользователей.

[Allied]

... DHCP-снупинг позволит защититься от левых DHCP, а не от левых мак-адресов и айпишников.

Я же писал, не просто DHCP и DHCP-снупинг, а и использования опций. К примеру, DHCP Option 82 решит ситуацию.

С другой стороны, что предлогаете Вы? Если уж и пошла тема про хитрых пользователей, то тунели тоже не помогут.

 

[mschedrin]

Чтобы справиться с левыми DHCP достаточно просто воспользоваться acl и запретить соответствующие пакеты на клиентских портах. Необходимости в снупинге нет.

[Allied]

Чтобы справиться с левыми DHCP достаточно просто воспользоваться acl и запретить соответствующие пакеты на клиентских портах. Необходимости в снупинге нет.

А что по твоему делает снупинг? Он не создает эти же правила?

[Rudz]

Чтобы справиться с левыми DHCP достаточно просто воспользоваться acl и запретить соответствующие пакеты на клиентских портах. Необходимости в снупинге нет.

А что по твоему делает снупинг? Он не создает эти же правила?

необязательно, это не его забота вообще-то. его забота - перехватить от клиента request, отправить штатному dhcp-серверу, получить reply и отдать клиенту - и не больше.

 

[alcool]

тут же речь о том что на каждом порте коммутатора зоопарк. И если что-то не то, то падает не 1 клиент. а целый сегмент.

Вланы этот свитч умеет собирать? может купить по 100 рублей мыльниц на реалтеке, перепаять их чтобы каждый абонент был в отдельном влане? получиться вменяемая сеть.