Jump to content
Калькуляторы

противодействие ARP-спуфингу

Доброго времени суток!

 

Надеюсь никто не будет спорить, что ARP-спуфинг - достаточно опасная атака в локальных сетях, пожтому недавно мне пришлось решать вопрос о противодействии ей.

Вот некоторые краткие выводы:

1. создание простых ACL L3 на управляемых коммутаторах Cisco похволяет нейтрализовать атаку типа MiM, однако при таком подходе прекращается захват трафика атакующим и наблюдается DoS атакуемого.

2. Использование port-security вообще никак не поможет бороться с атакаой (Не считая случая, когда атакующий скрывает свой mac), хотя это регулярно упоминается в статьях как мера противодействия.

3. обнаружить атаку при помощи наблюденияч за SPAN портами легко - она имеет яркие демаскирующие признаки: несоответствие IP в пакете адресу, разрешённому для порта. Такое обнаружение можно реализовать при помощи IDS, однако совершенно нельзя её предотвартить - только вырубить порт по факту.

 

В связи с этим - вопрос: существует ли в коммутаторах Cisco встроенные функции для борьбы с arp-спуфинг? Ведь по идее алгоритм элементарен: если в пакете arp IP не соответствует разрешённому, то пакет надо уничтожить. Но не могу найти в документации никаких встроенных фич. Неужели необходимо приобретать IDS? Отдельные VLAN не хочется использовать.

 

ACL листы IOS позволяют настраивать правила для многих протоколов - вполь до прямого указания типа протокола в листе, если сам протокол неизывестен устройству. Неужели нельзя сконструировать правило для arp?

 

 

Share this post


Link to post
Share on other sites

Чем не устраивает ip arp inspection?

ну или vlan + proxy arp?

Share this post


Link to post
Share on other sites

А у вас на доступе тупари что-ли стоят?

Сеть учебная. Эксперименты проводили с перехватом голосового трафика на телефонах Cisco 79xx, сервер Call-manager и свитчюги 2960.

Share this post


Link to post
Share on other sites
Чем не устраивает ip arp inspection?

ну или vlan + proxy arp?

http://www.cisco.com/en/US/docs/switches/l....html#wp1332035 - помоему не совсем то выделено, но вцелом статья полезная.

 

Спасибо за помощь, буду разбираться. Недогуглил видимо)

 

И ещё тогда небольшой вопрос - при разделении по отдельным VLAN - как осуществляется маршрутизация между ними? Где набрать 2000 - 3000 тысячи IP-адресов сетей? Даже если юзать минимальную маску 30 - всё равно расход громадный.

Share this post


Link to post
Share on other sites

И ещё тогда небольшой вопрос - при разделении по отдельным VLAN - как осуществляется маршрутизация между ними? Где набрать 2000 - 3000 тысячи IP-адресов сетей? Даже если юзать минимальную маску 30 - всё равно расход громадный.

У cisco есть для этого ip unnumbered, поищи на этом форуме, тем про него много было.

Edited by qwertzy

Share this post


Link to post
Share on other sites

Вобщем никак не могу разобраться:

работаю на 2960

Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

ASE SOFTWARE (fc2)

Copyright © 1986-2007 by Cisco Systems, Inc.

Compiled Thu 22-Feb-07 13:57 by myl

Image text-base: 0x00003000, data-base: 0x00AA3380

 

и механизм arp фильтрации там явно присутствует, так как

возможно ввести команды

arp access-list vl10

permit response ip host 172.16.0.1 any mac host 0002.4ada.3333 any

deny response ip host 172.16.0.1 any mac any any log

permit request ip host 172.16.0.1 mac host 0002.4ada.3333

deny request ip host 172.16.0.1 mac any log

permit request ip any mac any

permit response ip any any mac any any

 

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

Если версия не поддерживает арп инспекшн, то зачем она тогда позволяет создать для него листы??

 

И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.

Share this post


Link to post
Share on other sites
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

DAI поддерживается начиная с 12.2(50).

 

И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.

Вам там выше по теме ссылки постили. Там есть раздел Dynamic ARP Inspection :)

Share this post


Link to post
Share on other sites
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

DAI поддерживается начиная с 12.2(50).

Не понятно всё равно. Получается ARP ACL создать уже можно, а использовать нельзя? Типа не до конца реализованая фича, или ARP ACL можно ещё как-то использовать?
И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.
Вам там выше по теме ссылки постили. Там есть раздел Dynamic ARP Inspection :)

Да, действительно, раздел там такой есть)) вот ведь нагородили буржуины проклятые и Arp Inspection и Source IP & MAC filtering и DHCP snooping...) Всё вместе конфигать надо....

тогда ещё небольшой вопрос: для всех фич безопасности задаётся понятие трастед интерфейса, причём оно задаётся в контексте физического интерфейса. А если на физическом интерфейсе находится транк, в котором один абонент трастед, а другой - нет? Например к Cat 2960 по транку подключен управляемый DES-2108, у которого в 1 vlan подключен абонент, а в другой - лигитимный DHCP для другой сети?

 

З.Ы. Никто не выручит более свежей версией IOS? А то SMARTNET'a нема (

Share this post


Link to post
Share on other sites
З.Ы. Никто не выручит более свежей версией IOS? А то SMARTNET'a нема (
Туева хуча всяких ИОСов (88.22 GB) лежит тут - _ttp://rutracker.org/forum/viewtopic.php?t=1694853

Качать наверно лучше выборочно.

Share this post


Link to post
Share on other sites

DAI поддерживается начиная с 12.2(50).

Не понятно всё равно. Получается ARP ACL создать уже можно, а использовать нельзя? Типа не до конца реализованая фича, или ARP ACL можно ещё как-то использовать?

Скорее 'не до конца отрезанная фича' :) Во времена 12.2(25) DAI был в 3750. Скорее всего, когда писали IOS для 2960 взяли общую базу кода, но DAI решили доделать/протестировать потом и отрезали. Отрезали неаккуратно. Бывает :)

 

тогда ещё небольшой вопрос: для всех фич безопасности задаётся понятие трастед интерфейса, причём оно задаётся в контексте физического интерфейса. А если на физическом интерфейсе находится транк, в котором один абонент трастед, а другой - нет? Например к Cat 2960 по транку подключен управляемый DES-2108, у которого в 1 vlan подключен абонент, а в другой - лигитимный DHCP для другой сети?
'лигитимый DHCP' это DHCP сервер, обслуживающий какие-то другие VLAN? Тогда конечно будет сложнее.

Вообще, по замыслу Cisco, штучки типа DAI и Source Guard ориентированы скорее на коммутаторы доступа. Когда у Вас на доступе что-то тупое, то возможностей гораздо меньше.

Можно попробовать сделать этот порт untrusted, но не включать DHCP snooping в VLAN, где стоит DHCP сервер. Правда тогда придется ручками прописать статические мапинги для Source Guard и DAI чтобы трафик в этом VLAN ходил через порт.

Share this post


Link to post
Share on other sites
'лигитимый DHCP' это DHCP сервер, обслуживающий какие-то другие VLAN? Тогда конечно будет сложнее.

Вообще, по замыслу Cisco, штучки типа DAI и Source Guard ориентированы скорее на коммутаторы доступа. Когда у Вас на доступе что-то тупое, то возможностей гораздо меньше.

Можно попробовать сделать этот порт untrusted, но не включать DHCP snooping в VLAN, где стоит DHCP сервер. Правда тогда придется ручками прописать статические мапинги для Source Guard и DAI чтобы трафик в этом VLAN ходил через порт.

Ну вобщем понял - делается через костыли. Штатная привязка порт/vlan не реализована.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this