Cramac Posted February 23, 2010 Posted February 23, 2010 (edited) Всем привет. есть сервера (на линуксе) в сети, но иногда некоторые нерадивые пользователи вбивают у себя в настройках ип адреса серверов, в связи с чем сервера становятся недоступными. Как можно от этого защитится? Можно как то программно? или настроив свитч L3 ? Адреса в сети статические. Edited February 23, 2010 by Cramac Вставить ник Quote
Ilya Evseev Posted February 23, 2010 Posted February 23, 2010 на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене. на l3 - static arp для серверов. на серверах - arpwatch. Вставить ник Quote
Cramac Posted February 23, 2010 Author Posted February 23, 2010 на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене.это сложно сделать, иногда меняются местами порт/юзер на l3 - static arp для серверов.т.е. прописать на нем соотношение ип/мак и все? на сервере ничего не надо будет менять? на серверах - arpwatch.стоит правда не на сервере, есть несколько странных моментов такой к примеру 21.02.2010 17:23:01 Network scanning Host 10.10.1.103 (MAC: 00-E0-4D-05-79-62) generated 105 requests. Вставить ник Quote
Ilya Evseev Posted February 23, 2010 Posted February 23, 2010 на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене.это сложно сделать, иногда меняются местами порт/юзер Значит, нужен регламент по установке, проверке, изменению и сбросу привязок.И лучше это сделать, пока сеть маленькая. на l3 - static arp для серверов.т.е. прописать на нем соотношение ип/мак и все? на сервере ничего не надо будет менять? Да. на серверах - arpwatch.стоит правда не на сервере, есть несколько странных моментов такой к примеру 21.02.2010 17:23:01 Network scanning Host 10.10.1.103 (MAC: 00-E0-4D-05-79-62) generated 105 requests. Это arpwatch или ARP Monitor? т.е. сервер с Windows?Что, по-Вашему, странного в этом сообщении? Вставить ник Quote
Cramac Posted February 23, 2010 Author Posted February 23, 2010 Это arpwatch или ARP Monitor? т.е. сервер с Windows?Что, по-Вашему, странного в этом сообщении? сервера на линуксе, а это арп монитор на виндовс. странное то что такого ип адреса у нас в сети не должно быть :) Вставить ник Quote
Ilya Evseev Posted February 23, 2010 Posted February 23, 2010 Что, по-Вашему, странного в этом сообщении?странное то что такого ип адреса у нас в сети не должно быть :) MAC адрес указан, осталось найти порт и хозяина. Вставить ник Quote
Cramac Posted February 23, 2010 Author Posted February 23, 2010 а есть средства для сбора такой инфы с свитчей? Вставить ник Quote
Ilya Evseev Posted February 23, 2010 Posted February 23, 2010 а есть средства для сбора такой инфы с свитчей?Конечно :)http://forum.nag.ru/forum/index.php?showtopic=54023 Вставить ник Quote
Cramac Posted February 23, 2010 Author Posted February 23, 2010 спасибо за помощь, дополним наши зачатки данного направления... А еще такой вопрос, иногда кто то вешает свитчи....Можно это выявить не выдергивая по одному? Вставить ник Quote
Ilya Evseev Posted February 23, 2010 Posted February 23, 2010 иногда кто то вешает свитчи....Можно это выявить не выдергивая по одному?На свитчах с помощью ACL закрыть доступ по Telnet, SSH, WWW, SNMP.Вынести клиентские сети из vlan default, использовать его только для управления. Читать логи. Включить защиту CPU. Вставить ник Quote
BETEPAH Posted February 24, 2010 Posted February 24, 2010 а что делают серверы в одном сегменте с юзверями? про DMZ когда-нибудь слышали? Вставить ник Quote
Cramac Posted February 24, 2010 Author Posted February 24, 2010 про DMZ не читал.... А серверы в разных сегментах с пользователями, но кто то умудряется его занять. Вставить ник Quote
BETEPAH Posted February 24, 2010 Posted February 24, 2010 http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети) Вставить ник Quote
Cramac Posted February 24, 2010 Author Posted February 24, 2010 а вопрос такой еще, если делать acl правила (для блокировки портов) то вешать их на вход или выход порта? Вставить ник Quote
HoatDog Posted February 24, 2010 Posted February 24, 2010 а вопрос такой еще, если делать acl правила (для блокировки портов) то вешать их на вход или выход порта? Все зависит от от модели конкретного свитча в д-линках фильтруется трафик только тот который исходит из порта Вставить ник Quote
Cramac Posted February 24, 2010 Author Posted February 24, 2010 (edited) свитч акктон (4612) Edited March 4, 2010 by Cramac Вставить ник Quote
Cramac Posted March 4, 2010 Author Posted March 4, 2010 что то статический арп не сильно спас. Точнее от подмены он возможно и спас, только появилась другая проблема. Прописал этот статик арп, свитч начал сильно тормозить (пинги через него стали ходить по 1000-1500мс... Может кто то адреса этого свитча, он же роутера, стал себе брать? или что могут делать что так его грузить ? причем картина такая что 9 сегментов что роутит он вторично работают через попу, а 10 сегмент в котором он имеет примари ИП, все пинги ходят нормально... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.