Jump to content
Калькуляторы

3550 и ограничение по src-mac bras antispoofing

Доброго времени суток!

 

есть каталист, к портам которого подключены абоненты (кто через дслам, кто - напрямую...), нужно защитить сеть от езернет кадров идущих от абонентов с source MAC'ами брасов.

Можно для начала сделать так:

int fastEthernet 0/1

mac access-group no-bras-mac in

 

и соответственно:

 

mac access-list extended no-bras-mac

deny host <MAC-BRAS-1> any

deny host <MAC-BRAS-2> any

permit any any

 

Все вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip трафика (по документации и согласно моим экспериментам). То есть pppoe и arp работать не будут, но обычный IP пакет пройдет, в результате кадр с подставленным маком дойдет до ядра сети и центральный свич будет думать что брас находится в двух местах. Так можно обычным пингом навредить провайдеру.

Что делать? Cisco предлагает поставить одновременно с mac access-group еще и ip access-group на интерфейс, и там фильтровать IP трафик. Хорошо:

 

interface FastEthernet0/1

ip access-group no-bras-ip in

 

ip access-list extended no-bras-ip

deny ?

<0-255> An IP protocol number

ahp Authentication Header Protocol

eigrp Cisco's EIGRP routing protocol

esp Encapsulation Security Payload

gre Cisco's GRE tunneling

icmp Internet Control Message Protocol

igmp Internet Gateway Message Protocol

igrp Cisco's IGRP routing protocol

ip Any Internet Protocol

ipinip IP in IP tunneling

nos KA9Q NOS compatible IP over IP tunneling

ospf OSPF routing protocol

pcp Payload Compression Protocol

pim Protocol Independent Multicast

tcp Transmission Control Protocol

udp User Datagram Protocol

 

Но здесь же нельзя матчить пакеты по макам? Логично - это же IP access-list - а в ip пакете макам делать нечего :-)

 

Хм... что же делать?

 

Да... забыл сказать - есть же еще vlan access-lists, но там можно заблокировать нужный mac целиком в влане, а мне то нужно заблокировать только кадры с src mac идущие с определенных портов, иначе я заблокирую мак браса и отрублю всем интернет...

Share this post


Link to post
Share on other sites

Хмм... такой важный вопрос по безопасности и до сих пор ни одного ответа?... Или я чего-то не то спрашиваю или никто не защищается от спуфинга клиентами маков брасов. Кто знает - поделитесь плз опытом :-)

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this