Cramac Опубликовано 23 февраля, 2010 (изменено) · Жалоба Всем привет. есть сервера (на линуксе) в сети, но иногда некоторые нерадивые пользователи вбивают у себя в настройках ип адреса серверов, в связи с чем сервера становятся недоступными. Как можно от этого защитится? Можно как то программно? или настроив свитч L3 ? Адреса в сети статические. Изменено 23 февраля, 2010 пользователем Cramac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 23 февраля, 2010 · Жалоба на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене. на l3 - static arp для серверов. на серверах - arpwatch. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 23 февраля, 2010 · Жалоба на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене.это сложно сделать, иногда меняются местами порт/юзер на l3 - static arp для серверов.т.е. прописать на нем соотношение ип/мак и все? на сервере ничего не надо будет менять? на серверах - arpwatch.стоит правда не на сервере, есть несколько странных моментов такой к примеру 21.02.2010 17:23:01 Network scanning Host 10.10.1.103 (MAC: 00-E0-4D-05-79-62) generated 105 requests. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 23 февраля, 2010 · Жалоба на l2 - ip-mac-port binding для всех или как минимум для однажды пойманных на подмене.это сложно сделать, иногда меняются местами порт/юзер Значит, нужен регламент по установке, проверке, изменению и сбросу привязок.И лучше это сделать, пока сеть маленькая. на l3 - static arp для серверов.т.е. прописать на нем соотношение ип/мак и все? на сервере ничего не надо будет менять? Да. на серверах - arpwatch.стоит правда не на сервере, есть несколько странных моментов такой к примеру 21.02.2010 17:23:01 Network scanning Host 10.10.1.103 (MAC: 00-E0-4D-05-79-62) generated 105 requests. Это arpwatch или ARP Monitor? т.е. сервер с Windows?Что, по-Вашему, странного в этом сообщении? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 23 февраля, 2010 · Жалоба Это arpwatch или ARP Monitor? т.е. сервер с Windows?Что, по-Вашему, странного в этом сообщении? сервера на линуксе, а это арп монитор на виндовс. странное то что такого ип адреса у нас в сети не должно быть :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 23 февраля, 2010 · Жалоба Что, по-Вашему, странного в этом сообщении?странное то что такого ип адреса у нас в сети не должно быть :) MAC адрес указан, осталось найти порт и хозяина. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 23 февраля, 2010 · Жалоба а есть средства для сбора такой инфы с свитчей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 23 февраля, 2010 · Жалоба а есть средства для сбора такой инфы с свитчей?Конечно :)http://forum.nag.ru/forum/index.php?showtopic=54023 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 23 февраля, 2010 · Жалоба спасибо за помощь, дополним наши зачатки данного направления... А еще такой вопрос, иногда кто то вешает свитчи....Можно это выявить не выдергивая по одному? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 23 февраля, 2010 · Жалоба иногда кто то вешает свитчи....Можно это выявить не выдергивая по одному?На свитчах с помощью ACL закрыть доступ по Telnet, SSH, WWW, SNMP.Вынести клиентские сети из vlan default, использовать его только для управления. Читать логи. Включить защиту CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 24 февраля, 2010 · Жалоба а что делают серверы в одном сегменте с юзверями? про DMZ когда-нибудь слышали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 24 февраля, 2010 · Жалоба про DMZ не читал.... А серверы в разных сегментах с пользователями, но кто то умудряется его занять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 24 февраля, 2010 · Жалоба http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 24 февраля, 2010 · Жалоба а вопрос такой еще, если делать acl правила (для блокировки портов) то вешать их на вход или выход порта? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
HoatDog Опубликовано 24 февраля, 2010 · Жалоба а вопрос такой еще, если делать acl правила (для блокировки портов) то вешать их на вход или выход порта? Все зависит от от модели конкретного свитча в д-линках фильтруется трафик только тот который исходит из порта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 24 февраля, 2010 (изменено) · Жалоба свитч акктон (4612) Изменено 4 марта, 2010 пользователем Cramac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 4 марта, 2010 · Жалоба что то статический арп не сильно спас. Точнее от подмены он возможно и спас, только появилась другая проблема. Прописал этот статик арп, свитч начал сильно тормозить (пинги через него стали ходить по 1000-1500мс... Может кто то адреса этого свитча, он же роутера, стал себе брать? или что могут делать что так его грузить ? причем картина такая что 9 сегментов что роутит он вторично работают через попу, а 10 сегмент в котором он имеет примари ИП, все пинги ходят нормально... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...