[Cramac]

Всем привет. есть сервера (на линуксе) в сети, но иногда некоторые нерадивые пользователи вбивают у себя в настройках ип адреса серверов, в связи с чем сервера становятся недоступными. Как можно от этого защитится?

Можно как то программно? или настроив свитч L3 ?

Адреса в сети статические.

Изменено 23 февраля, 2010 пользователем Cramac

[Ilya Evseev]

на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене.

на l3 - static arp для серверов.

на серверах - arpwatch.

[Cramac]

на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене.

это сложно сделать, иногда меняются местами порт/юзер

 

на l3 - static arp для серверов.

т.е. прописать на нем соотношение ип/мак и все? на сервере ничего не надо будет менять?

 

на серверах - arpwatch.

стоит правда не на сервере, есть несколько странных моментов

 

такой к примеру

21.02.2010 17:23:01 Network scanning Host 10.10.1.103 (MAC: 00-E0-4D-05-79-62) generated 105 requests.

 

[Ilya Evseev]

на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене.

это сложно сделать, иногда меняются местами порт/юзер

Значит, нужен регламент по установке, проверке, изменению и сбросу привязок.

И лучше это сделать, пока сеть маленькая.

 

на l3 - static arp для серверов.

т.е. прописать на нем соотношение ип/мак и все? на сервере ничего не надо будет менять?

Да.

 

на серверах - arpwatch.

стоит правда не на сервере, есть несколько странных моментов

 

такой к примеру

21.02.2010 17:23:01 Network scanning Host 10.10.1.103 (MAC: 00-E0-4D-05-79-62) generated 105 requests.

Это arpwatch или ARP Monitor? т.е. сервер с Windows?

Что, по-Вашему, странного в этом сообщении?

[Cramac]

Это arpwatch или ARP Monitor? т.е. сервер с Windows?

Что, по-Вашему, странного в этом сообщении?

сервера на линуксе, а это арп монитор на виндовс.

 

 

странное то что такого ип адреса у нас в сети не должно быть :)

[Ilya Evseev]

Что, по-Вашему, странного в этом сообщении?

странное то что такого ип адреса у нас в сети не должно быть :)

MAC адрес указан, осталось найти порт и хозяина.

[Cramac]

а есть средства для сбора такой инфы с свитчей?

[Ilya Evseev]

а есть средства для сбора такой инфы с свитчей?

Конечно :)

http://forum.nag.ru/forum/index.php?showtopic=54023

[Cramac]

спасибо за помощь, дополним наши зачатки данного направления...

 

А еще такой вопрос, иногда кто то вешает свитчи....Можно это выявить не выдергивая по одному?

[Ilya Evseev]

иногда кто то вешает свитчи....Можно это выявить не выдергивая по одному?

На свитчах с помощью ACL закрыть доступ по Telnet, SSH, WWW, SNMP.

Вынести клиентские сети из vlan default, использовать его только для управления.

Читать логи.

Включить защиту CPU.

[BETEPAH]

а что делают серверы в одном сегменте с юзверями? про DMZ когда-нибудь слышали?

[Cramac]

про DMZ не читал....

А серверы в разных сегментах с пользователями, но кто то умудряется его занять.

[BETEPAH]

http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)

[Cramac]

а вопрос такой еще, если делать acl правила (для блокировки портов) то вешать их на вход или выход порта?

[HoatDog]

а вопрос такой еще, если делать acl правила (для блокировки портов) то вешать их на вход или выход порта?

Все зависит от от модели конкретного свитча в д-линках фильтруется трафик только тот который исходит из порта

[Cramac]

свитч акктон (4612)

Изменено 4 марта, 2010 пользователем Cramac

[Cramac]

что то статический арп не сильно спас. Точнее от подмены он возможно и спас, только появилась другая проблема. Прописал этот статик арп, свитч начал сильно тормозить (пинги через него стали ходить по 1000-1500мс...

Может кто то адреса этого свитча, он же роутера, стал себе брать? или что могут делать что так его грузить ?

причем картина такая что 9 сегментов что роутит он вторично работают через попу, а 10 сегмент в котором он имеет примари ИП, все пинги ходят нормально...