Jump to content
Калькуляторы

противодействие ARP-спуфингу

Reply to this topic

M-a-x-Z   

M-a-x-Z
Posted · Report post

Доброго времени суток!

 

Надеюсь никто не будет спорить, что ARP-спуфинг - достаточно опасная атака в локальных сетях, пожтому недавно мне пришлось решать вопрос о противодействии ей.

Вот некоторые краткие выводы:

1. создание простых ACL L3 на управляемых коммутаторах Cisco похволяет нейтрализовать атаку типа MiM, однако при таком подходе прекращается захват трафика атакующим и наблюдается DoS атакуемого.

2. Использование port-security вообще никак не поможет бороться с атакаой (Не считая случая, когда атакующий скрывает свой mac), хотя это регулярно упоминается в статьях как мера противодействия.

3. обнаружить атаку при помощи наблюденияч за SPAN портами легко - она имеет яркие демаскирующие признаки: несоответствие IP в пакете адресу, разрешённому для порта. Такое обнаружение можно реализовать при помощи IDS, однако совершенно нельзя её предотвартить - только вырубить порт по факту.

 

В связи с этим - вопрос: существует ли в коммутаторах Cisco встроенные функции для борьбы с arp-спуфинг? Ведь по идее алгоритм элементарен: если в пакете arp IP не соответствует разрешённому, то пакет надо уничтожить. Но не могу найти в документации никаких встроенных фич. Неужели необходимо приобретать IDS? Отдельные VLAN не хочется использовать.

 

ACL листы IOS позволяют настраивать правила для многих протоколов - вполь до прямого указания типа протокола в листе, если сам протокол неизывестен устройству. Неужели нельзя сконструировать правило для arp?

 

 

Share this post

Link to post
Share on other sites

M-a-x-Z   

M-a-x-Z
Posted · Report post

А у вас на доступе тупари что-ли стоят?

Сеть учебная. Эксперименты проводили с перехватом голосового трафика на телефонах Cisco 79xx, сервер Call-manager и свитчюги 2960.

Share this post

Link to post
Share on other sites

M-a-x-Z   

M-a-x-Z
Posted · Report post
Чем не устраивает ip arp inspection?

ну или vlan + proxy arp?

http://www.cisco.com/en/US/docs/switches/l....html#wp1332035 - помоему не совсем то выделено, но вцелом статья полезная.

 

Спасибо за помощь, буду разбираться. Недогуглил видимо)

 

И ещё тогда небольшой вопрос - при разделении по отдельным VLAN - как осуществляется маршрутизация между ними? Где набрать 2000 - 3000 тысячи IP-адресов сетей? Даже если юзать минимальную маску 30 - всё равно расход громадный.

Share this post

Link to post
Share on other sites

qwertzy   

qwertzy
Posted (edited) · Report post

И ещё тогда небольшой вопрос - при разделении по отдельным VLAN - как осуществляется маршрутизация между ними? Где набрать 2000 - 3000 тысячи IP-адресов сетей? Даже если юзать минимальную маску 30 - всё равно расход громадный.

У cisco есть для этого ip unnumbered, поищи на этом форуме, тем про него много было.

Edited by qwertzy

Share this post

Link to post
Share on other sites

M-a-x-Z   

M-a-x-Z
Posted · Report post

Вобщем никак не могу разобраться:

работаю на 2960

Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

ASE SOFTWARE (fc2)

Copyright © 1986-2007 by Cisco Systems, Inc.

Compiled Thu 22-Feb-07 13:57 by myl

Image text-base: 0x00003000, data-base: 0x00AA3380

 

и механизм arp фильтрации там явно присутствует, так как

возможно ввести команды

arp access-list vl10

permit response ip host 172.16.0.1 any mac host 0002.4ada.3333 any

deny response ip host 172.16.0.1 any mac any any log

permit request ip host 172.16.0.1 mac host 0002.4ada.3333

deny request ip host 172.16.0.1 mac any log

permit request ip any mac any

permit response ip any any mac any any

 

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

Если версия не поддерживает арп инспекшн, то зачем она тогда позволяет создать для него листы??

 

И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.

Share this post

Link to post
Share on other sites

nnm   

nnm
Posted · Report post
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

DAI поддерживается начиная с 12.2(50).

 

И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.

Вам там выше по теме ссылки постили. Там есть раздел Dynamic ARP Inspection :)

Share this post

Link to post
Share on other sites

M-a-x-Z   

M-a-x-Z
Posted · Report post
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

DAI поддерживается начиная с 12.2(50).

Не понятно всё равно. Получается ARP ACL создать уже можно, а использовать нельзя? Типа не до конца реализованая фича, или ARP ACL можно ещё как-то использовать?
И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.
Вам там выше по теме ссылки постили. Там есть раздел Dynamic ARP Inspection :)

Да, действительно, раздел там такой есть)) вот ведь нагородили буржуины проклятые и Arp Inspection и Source IP & MAC filtering и DHCP snooping...) Всё вместе конфигать надо....

тогда ещё небольшой вопрос: для всех фич безопасности задаётся понятие трастед интерфейса, причём оно задаётся в контексте физического интерфейса. А если на физическом интерфейсе находится транк, в котором один абонент трастед, а другой - нет? Например к Cat 2960 по транку подключен управляемый DES-2108, у которого в 1 vlan подключен абонент, а в другой - лигитимный DHCP для другой сети?

 

З.Ы. Никто не выручит более свежей версией IOS? А то SMARTNET'a нема (

Share this post

Link to post
Share on other sites

azhur   

azhur
Posted · Report post
З.Ы. Никто не выручит более свежей версией IOS? А то SMARTNET'a нема (
Туева хуча всяких ИОСов (88.22 GB) лежит тут - _ttp://rutracker.org/forum/viewtopic.php?t=1694853

Качать наверно лучше выборочно.

Share this post

Link to post
Share on other sites

nnm   

nnm
Posted · Report post

DAI поддерживается начиная с 12.2(50).

Не понятно всё равно. Получается ARP ACL создать уже можно, а использовать нельзя? Типа не до конца реализованая фича, или ARP ACL можно ещё как-то использовать?

Скорее 'не до конца отрезанная фича' :) Во времена 12.2(25) DAI был в 3750. Скорее всего, когда писали IOS для 2960 взяли общую базу кода, но DAI решили доделать/протестировать потом и отрезали. Отрезали неаккуратно. Бывает :)

 

тогда ещё небольшой вопрос: для всех фич безопасности задаётся понятие трастед интерфейса, причём оно задаётся в контексте физического интерфейса. А если на физическом интерфейсе находится транк, в котором один абонент трастед, а другой - нет? Например к Cat 2960 по транку подключен управляемый DES-2108, у которого в 1 vlan подключен абонент, а в другой - лигитимный DHCP для другой сети?
'лигитимый DHCP' это DHCP сервер, обслуживающий какие-то другие VLAN? Тогда конечно будет сложнее.

Вообще, по замыслу Cisco, штучки типа DAI и Source Guard ориентированы скорее на коммутаторы доступа. Когда у Вас на доступе что-то тупое, то возможностей гораздо меньше.

Можно попробовать сделать этот порт untrusted, но не включать DHCP snooping в VLAN, где стоит DHCP сервер. Правда тогда придется ручками прописать статические мапинги для Source Guard и DAI чтобы трафик в этом VLAN ходил через порт.

Share this post

Link to post
Share on other sites

M-a-x-Z   

M-a-x-Z
Posted · Report post
'лигитимый DHCP' это DHCP сервер, обслуживающий какие-то другие VLAN? Тогда конечно будет сложнее.

Вообще, по замыслу Cisco, штучки типа DAI и Source Guard ориентированы скорее на коммутаторы доступа. Когда у Вас на доступе что-то тупое, то возможностей гораздо меньше.

Можно попробовать сделать этот порт untrusted, но не включать DHCP snooping в VLAN, где стоит DHCP сервер. Правда тогда придется ручками прописать статические мапинги для Source Guard и DAI чтобы трафик в этом VLAN ходил через порт.

Ну вобщем понял - делается через костыли. Штатная привязка порт/vlan не реализована.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...