Jump to content
Калькуляторы

ip-unnumbered и ip spoofing как решается вопрос защиты от подделки адреса?

Рассматриваю cisco 3550 или 4006 с SUPIII.

SUP 3 поддерживает ip-unnumbered, 3550-я вроде тоже, тут пролетало что "поддерживает".

Смотрим в сторону "ВЛАН на юзера". Включаем ip-unnumbered и ARP прокси.

 

Не могу догнать чем и как защитится от того, чтобы юзер не мог прописать себе чужой IPшник и поюзать чужой трафик.

Обе железки умеют DHCP snooping, но ограничиваются опцией 82 и уникастизацией DHCPшных пакетов. То есть не блокируют VLAN, до того как там будет легально получен IP. Получается можно прописать себе руками любой IP и работать.

 

При этом где-то в доке упоминается, что нельзя фильтровать на интерфейсах при задействовании ip-unnumbered. Чего делать-то?

 

P.S. тему неправильно назвал, имелось ввиду-то не подделка в пакетах, а обычная ситуация прописывания чужого адреса. Извините, поменять тему не могу.

Edited by masterovoj

Share this post


Link to post
Share on other sites

если "ВЛАН на юзера" то пусть берёт какой ему захочется ip-адрес. поюзать не получиться ничего :)

Share this post


Link to post
Share on other sites
если "ВЛАН на юзера" то пусть берёт какой ему захочется ip-адрес. поюзать не получиться ничего :)
Изначальный смысл в том, что я хочу выделить и жёстко закрепить за каждым юзером свой IP (или несколько). Выдавать их из DHCP на основе VLAN'а, используя Option82.

 

Но если юзер возьмёт и руками пропишет (статически) себе адрес соседа? Я пока не вижу ничего, что бы помешало ему работать "от имени" этого IP адреса.

Обращаю внимание - включен ip-unnumbered и соответственно все VLANы "опираются" на один базовый интерфейс, на котором прописана вся сеть. Т.е. получается, что все адреса сети маршрутизируются в каждом ВЛАНе. Включен ARP-прокси.

Вроде как бери любой адрес и можешь работать...

 

Подскажите, как запретить?

Edited by masterovoj

Share this post


Link to post
Share on other sites
Но если юзер возьмёт и руками пропишет (статически) себе адрес соседа? Я пока не вижу ничего, что бы помешало ему работать "от имени" этого IP адреса.

RPF помешает. Маршруты на конкретные IP через конкретные интерфейсы создаются при назначении адресов по dhcp.

Edited by Bambuk

Share this post


Link to post
Share on other sites

IP Unnumbered for VLAN-SVI interfaces

не поддерживается ни в sup3, ни в 3550

Share this post


Link to post
Share on other sites
IP Unnumbered for VLAN-SVI interfaces

не поддерживается ни в sup3, ни в 3550

а... моя невнимательно прочитал Ваш ответ в ветке про компоновку Catalyst'ы. прошу пардону.

 

Посмотрел в feature navigator насчёт указанного вами "IP Unnumbered for VLAN-SVI interfaces". Так там даже нету и 4000-й вообще. Начинается с 4500-й в компоновке начиная с SUP 2 PLUS.

А ещё попытался добавить к ней в пару фичу "Reverse Path Forwarding - Source Exists only" - так оно вообще сругалось, что:

The feature combination you searched on is not in any supported Cisco software releases in this tool.
Please change the feature combination and search again. Thank you.

 

Так что, получается финтазируемая мною идея вовсе и НЕ осуществима?

Share this post


Link to post
Share on other sites
IP Unnumbered for VLAN-SVI interfaces

не поддерживается ни в sup3, ни в 3550

у меня в 3550 поддерживается, наверно у вас какие то другие :)

Share this post


Link to post
Share on other sites

Нужная фича называется "IP Source Guard" и 3550 ее поддерживает.

Share this post


Link to post
Share on other sites
IP Unnumbered for VLAN-SVI interfaces
у меня в 3550 поддерживается, наверно у вас какие то другие :)

Какая прошивка на 3550-ой?

Edited by masterovoj

Share this post


Link to post
Share on other sites
Ух ты! Так получается всё как раз красиво, и всё что нужно уже есть в 3550-й? Подтвердите, пожалуйста, а то я растерялся.

 

Итак. Предполагается что в 3550-ю втыкаются штук 48 проводов, в каждом по многу ВЛАНов. На 3550-ой на loopback вешается адрес типа 80.80.80.1/255.255.0.0. Затем делаются соответствующие ВЛАНы на всех медных портах. Во все ВЛАНы делается IP Unnumbered и IP Source Guard.

Клиент не может работать пока не получил адрес по DHCP. Клиент получает адрес типа 80.80.80.2/255.255.255.255 (такая маска должна быть, да?), шлюз 80.80.80.1, при этом IPSG "разблокирует" его IP, в его ВЛАНе, и клиент работает.

Я так понимаю, что, раз маска /32, то и какая-то фича типа ARP-прокси не нужна вовсе. Если я не прав, поправьте пож-та.

 

Примерно такая полная схема реальна, работает, да? Какая прошивка на 3550-ой?

В каждый порт по одному юзеру втыкается, или цепочка хабов ?

Если первое, то никакие ip unnumbered и VLAN-ы не нужны, все проще :-)

Если второе, то я не уверен, что оно вообще заработает. Точнее не знаю, какие будут лимиты числа "записей фильтрации" на группу портов.

 

PS: 3550 уже давно снят с производства, может вы про 3560 ? Набор фич отличается ;)

Edited by visir

Share this post


Link to post
Share on other sites
В каждый порт по одному юзеру втыкается, или цепочка хабов ?

Если первое, то никакие ip unnumbered и VLAN-ы не нужны, все проще :-)

Если второе, то я не уверен, что оно вообще заработает. Точнее не знаю, какие будут лимиты числа "записей фильтрации" на группу портов.

На доме стоит свич с 802.1q. От этого свича один кабель (в нём все ВЛАНы этого дома) приходит в узел и втыкается в один порт 3550-ой. То есть "один дом" втыкается в "один порт". Соответственно, на этом порту 3550-ой заводятся все ВЛАНы с этого дома.

 

На рисунке нарисовано. Сможет 3550 в такой топологии расписанную мною красоту VLAN-на-юзера + IP Unnumbered + IP Source Guard ?

 

Всё таки 6500-й начинается у Nag'а от 100 т.р., сильно хочется верить, что нужный мне минимум функционала можно найти и за меньшие деньги.

post-56026-1230308629_thumb.png

Edited by masterovoj

Share this post


Link to post
Share on other sites

ну так в 6500 можно до 4к(рекомендовано не более 2к) вланов завести! посчитайте сколько для этого потребуется 3550 да и обслуживание\апгрейд одного шасси всяко проще.

Edited by Nafanya

Share this post


Link to post
Share on other sites

Вам нужно собирать стенд и проверять.

Заработает ли это вообще, и, если заработает, то оценить лимиты.

Лимиты могут быть на порт, на группу портов (обрабатываемых одним ASIC-ом) и на всю коробку. Последние вы можете найти по ключевому слову "SDM Templates" (скорей всего вам нужен пункт "Securiy ACE").

 

Общая работоспособность данной комбинации фич скорей всего не зависит от модели свитча, но может зависеть от версии IOS.

У 3560/3750 более емкий CAM/TCAM, а значит лимиты всех трех типов могут буть в разы выше. А могут быть и такими же :-)

 

Share this post


Link to post
Share on other sites
IP Unnumbered for VLAN-SVI interfaces

не поддерживается ни в sup3, ни в 3550

у меня в 3550 поддерживается, наверно у вас какие то другие :)

команда работает только в SE ветке (до мая самые свежие релизы были только в SEE ветке).

да в релизах 12.2(44)SE

Unsupported Interface Configuration Commands

ip accounting precedence {input | output}

ip load-sharing [per-packet]

ip mtu bytes

ip verify

ip unnumbered type number

http://www.cisco.com/en/US/docs/switches/l....html#wp1012668

 

а сколько рекомендовано SVI на 3550? 16?

Edited by D^2

Share this post


Link to post
Share on other sites
команда работает только в SE ветке (до мая самые свежие релизы были только в SEE ветке).

да в релизах 12.2(44)SE

Unsupported Interface Configuration Commands

ip accounting precedence {input | output}

ip load-sharing [per-packet]

ip mtu bytes

ip verify

ip unnumbered type number

http://www.cisco.com/en/US/docs/switches/l....html#wp1012668

а сколько рекомендовано SVI на 3550? 16?

тут пишут что 8 штук

 

Тока недопонял смысл вашего поста. Вы говорите что "команда работает ... в релизах 12.2(44)SE". И сразу же приводите из ссылки на доку по 12.2(44)SE, где сказано, что команда НЕ поддерживается. Что хотели сказать?

 

А товарищ ingress пишет, что команда у него работает. Тока не пишет какой у него релиз.

 

P.S. Давайте определимся, что имеется ввиду 3550-48, или 3550-24.

Edited by masterovoj

Share this post


Link to post
Share on other sites
http://www.opennet.ru/base/cisco/catalyst_...number.txt.html

 

а подскажите пожалуйста почему автор на лупбак прописывает 24ю маску?

может я чего не знаю?

прописывается маска, охватывающая весь диапазон ip, которые будут раздаваться через ip unnambered

Share this post


Link to post
Share on other sites

так что схему внедрили?

Share this post


Link to post
Share on other sites

Кстати, мне тоже интересно, как там с 3550 и данной схемой ...

Хотим сделать подобный вариант, да по общим граблям ходить неохота (

Share this post


Link to post
Share on other sites

Тож хотим поднять. Но только в центре 6509 (можно 7609 с бордера снять, ибо говорят на 65ой только 8к записей на снупинг), на лупбек повесить всю /18 подсеть реальных и на 300 виланов раздать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this