Перейти к содержимому
Калькуляторы

ip-unnumbered и ip spoofing как решается вопрос защиты от подделки адреса?

Рассматриваю cisco 3550 или 4006 с SUPIII.

SUP 3 поддерживает ip-unnumbered, 3550-я вроде тоже, тут пролетало что "поддерживает".

Смотрим в сторону "ВЛАН на юзера". Включаем ip-unnumbered и ARP прокси.

 

Не могу догнать чем и как защитится от того, чтобы юзер не мог прописать себе чужой IPшник и поюзать чужой трафик.

Обе железки умеют DHCP snooping, но ограничиваются опцией 82 и уникастизацией DHCPшных пакетов. То есть не блокируют VLAN, до того как там будет легально получен IP. Получается можно прописать себе руками любой IP и работать.

 

При этом где-то в доке упоминается, что нельзя фильтровать на интерфейсах при задействовании ip-unnumbered. Чего делать-то?

 

P.S. тему неправильно назвал, имелось ввиду-то не подделка в пакетах, а обычная ситуация прописывания чужого адреса. Извините, поменять тему не могу.

Изменено пользователем masterovoj

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если "ВЛАН на юзера" то пусть берёт какой ему захочется ip-адрес. поюзать не получиться ничего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если "ВЛАН на юзера" то пусть берёт какой ему захочется ip-адрес. поюзать не получиться ничего :)
Изначальный смысл в том, что я хочу выделить и жёстко закрепить за каждым юзером свой IP (или несколько). Выдавать их из DHCP на основе VLAN'а, используя Option82.

 

Но если юзер возьмёт и руками пропишет (статически) себе адрес соседа? Я пока не вижу ничего, что бы помешало ему работать "от имени" этого IP адреса.

Обращаю внимание - включен ip-unnumbered и соответственно все VLANы "опираются" на один базовый интерфейс, на котором прописана вся сеть. Т.е. получается, что все адреса сети маршрутизируются в каждом ВЛАНе. Включен ARP-прокси.

Вроде как бери любой адрес и можешь работать...

 

Подскажите, как запретить?

Изменено пользователем masterovoj

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но если юзер возьмёт и руками пропишет (статически) себе адрес соседа? Я пока не вижу ничего, что бы помешало ему работать "от имени" этого IP адреса.

RPF помешает. Маршруты на конкретные IP через конкретные интерфейсы создаются при назначении адресов по dhcp.

Изменено пользователем Bambuk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IP Unnumbered for VLAN-SVI interfaces

не поддерживается ни в sup3, ни в 3550

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IP Unnumbered for VLAN-SVI interfaces

не поддерживается ни в sup3, ни в 3550

а... моя невнимательно прочитал Ваш ответ в ветке про компоновку Catalyst'ы. прошу пардону.

 

Посмотрел в feature navigator насчёт указанного вами "IP Unnumbered for VLAN-SVI interfaces". Так там даже нету и 4000-й вообще. Начинается с 4500-й в компоновке начиная с SUP 2 PLUS.

А ещё попытался добавить к ней в пару фичу "Reverse Path Forwarding - Source Exists only" - так оно вообще сругалось, что:

The feature combination you searched on is not in any supported Cisco software releases in this tool.
Please change the feature combination and search again. Thank you.

 

Так что, получается финтазируемая мною идея вовсе и НЕ осуществима?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IP Unnumbered for VLAN-SVI interfaces

не поддерживается ни в sup3, ни в 3550

у меня в 3550 поддерживается, наверно у вас какие то другие :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужная фича называется "IP Source Guard" и 3550 ее поддерживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IP Unnumbered for VLAN-SVI interfaces
у меня в 3550 поддерживается, наверно у вас какие то другие :)

Какая прошивка на 3550-ой?

Изменено пользователем masterovoj

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ух ты! Так получается всё как раз красиво, и всё что нужно уже есть в 3550-й? Подтвердите, пожалуйста, а то я растерялся.

 

Итак. Предполагается что в 3550-ю втыкаются штук 48 проводов, в каждом по многу ВЛАНов. На 3550-ой на loopback вешается адрес типа 80.80.80.1/255.255.0.0. Затем делаются соответствующие ВЛАНы на всех медных портах. Во все ВЛАНы делается IP Unnumbered и IP Source Guard.

Клиент не может работать пока не получил адрес по DHCP. Клиент получает адрес типа 80.80.80.2/255.255.255.255 (такая маска должна быть, да?), шлюз 80.80.80.1, при этом IPSG "разблокирует" его IP, в его ВЛАНе, и клиент работает.

Я так понимаю, что, раз маска /32, то и какая-то фича типа ARP-прокси не нужна вовсе. Если я не прав, поправьте пож-та.

 

Примерно такая полная схема реальна, работает, да? Какая прошивка на 3550-ой?

В каждый порт по одному юзеру втыкается, или цепочка хабов ?

Если первое, то никакие ip unnumbered и VLAN-ы не нужны, все проще :-)

Если второе, то я не уверен, что оно вообще заработает. Точнее не знаю, какие будут лимиты числа "записей фильтрации" на группу портов.

 

PS: 3550 уже давно снят с производства, может вы про 3560 ? Набор фич отличается ;)

Изменено пользователем visir

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В каждый порт по одному юзеру втыкается, или цепочка хабов ?

Если первое, то никакие ip unnumbered и VLAN-ы не нужны, все проще :-)

Если второе, то я не уверен, что оно вообще заработает. Точнее не знаю, какие будут лимиты числа "записей фильтрации" на группу портов.

На доме стоит свич с 802.1q. От этого свича один кабель (в нём все ВЛАНы этого дома) приходит в узел и втыкается в один порт 3550-ой. То есть "один дом" втыкается в "один порт". Соответственно, на этом порту 3550-ой заводятся все ВЛАНы с этого дома.

 

На рисунке нарисовано. Сможет 3550 в такой топологии расписанную мною красоту VLAN-на-юзера + IP Unnumbered + IP Source Guard ?

 

Всё таки 6500-й начинается у Nag'а от 100 т.р., сильно хочется верить, что нужный мне минимум функционала можно найти и за меньшие деньги.

post-56026-1230308629_thumb.png

Изменено пользователем masterovoj

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так в 6500 можно до 4к(рекомендовано не более 2к) вланов завести! посчитайте сколько для этого потребуется 3550 да и обслуживание\апгрейд одного шасси всяко проще.

Изменено пользователем Nafanya

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам нужно собирать стенд и проверять.

Заработает ли это вообще, и, если заработает, то оценить лимиты.

Лимиты могут быть на порт, на группу портов (обрабатываемых одним ASIC-ом) и на всю коробку. Последние вы можете найти по ключевому слову "SDM Templates" (скорей всего вам нужен пункт "Securiy ACE").

 

Общая работоспособность данной комбинации фич скорей всего не зависит от модели свитча, но может зависеть от версии IOS.

У 3560/3750 более емкий CAM/TCAM, а значит лимиты всех трех типов могут буть в разы выше. А могут быть и такими же :-)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IP Unnumbered for VLAN-SVI interfaces

не поддерживается ни в sup3, ни в 3550

у меня в 3550 поддерживается, наверно у вас какие то другие :)

команда работает только в SE ветке (до мая самые свежие релизы были только в SEE ветке).

да в релизах 12.2(44)SE

Unsupported Interface Configuration Commands

ip accounting precedence {input | output}

ip load-sharing [per-packet]

ip mtu bytes

ip verify

ip unnumbered type number

http://www.cisco.com/en/US/docs/switches/l....html#wp1012668

 

а сколько рекомендовано SVI на 3550? 16?

Изменено пользователем D^2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

команда работает только в SE ветке (до мая самые свежие релизы были только в SEE ветке).

да в релизах 12.2(44)SE

Unsupported Interface Configuration Commands

ip accounting precedence {input | output}

ip load-sharing [per-packet]

ip mtu bytes

ip verify

ip unnumbered type number

http://www.cisco.com/en/US/docs/switches/l....html#wp1012668

а сколько рекомендовано SVI на 3550? 16?

тут пишут что 8 штук

 

Тока недопонял смысл вашего поста. Вы говорите что "команда работает ... в релизах 12.2(44)SE". И сразу же приводите из ссылки на доку по 12.2(44)SE, где сказано, что команда НЕ поддерживается. Что хотели сказать?

 

А товарищ ingress пишет, что команда у него работает. Тока не пишет какой у него релиз.

 

P.S. Давайте определимся, что имеется ввиду 3550-48, или 3550-24.

Изменено пользователем masterovoj

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://www.opennet.ru/base/cisco/catalyst_...number.txt.html

 

а подскажите пожалуйста почему автор на лупбак прописывает 24ю маску?

может я чего не знаю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://www.opennet.ru/base/cisco/catalyst_...number.txt.html

 

а подскажите пожалуйста почему автор на лупбак прописывает 24ю маску?

может я чего не знаю?

прописывается маска, охватывающая весь диапазон ip, которые будут раздаваться через ip unnambered

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, мне тоже интересно, как там с 3550 и данной схемой ...

Хотим сделать подобный вариант, да по общим граблям ходить неохота (

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тож хотим поднять. Но только в центре 6509 (можно 7609 с бордера снять, ибо говорят на 65ой только 8к записей на снупинг), на лупбек повесить всю /18 подсеть реальных и на 300 виланов раздать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.