Перейти к содержимому
Калькуляторы

противодействие ARP-спуфингу

Доброго времени суток!

 

Надеюсь никто не будет спорить, что ARP-спуфинг - достаточно опасная атака в локальных сетях, пожтому недавно мне пришлось решать вопрос о противодействии ей.

Вот некоторые краткие выводы:

1. создание простых ACL L3 на управляемых коммутаторах Cisco похволяет нейтрализовать атаку типа MiM, однако при таком подходе прекращается захват трафика атакующим и наблюдается DoS атакуемого.

2. Использование port-security вообще никак не поможет бороться с атакаой (Не считая случая, когда атакующий скрывает свой mac), хотя это регулярно упоминается в статьях как мера противодействия.

3. обнаружить атаку при помощи наблюденияч за SPAN портами легко - она имеет яркие демаскирующие признаки: несоответствие IP в пакете адресу, разрешённому для порта. Такое обнаружение можно реализовать при помощи IDS, однако совершенно нельзя её предотвартить - только вырубить порт по факту.

 

В связи с этим - вопрос: существует ли в коммутаторах Cisco встроенные функции для борьбы с arp-спуфинг? Ведь по идее алгоритм элементарен: если в пакете arp IP не соответствует разрешённому, то пакет надо уничтожить. Но не могу найти в документации никаких встроенных фич. Неужели необходимо приобретать IDS? Отдельные VLAN не хочется использовать.

 

ACL листы IOS позволяют настраивать правила для многих протоколов - вполь до прямого указания типа протокола в листе, если сам протокол неизывестен устройству. Неужели нельзя сконструировать правило для arp?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чем не устраивает ip arp inspection?

ну или vlan + proxy arp?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у вас на доступе тупари что-ли стоят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у вас на доступе тупари что-ли стоят?

Сеть учебная. Эксперименты проводили с перехватом голосового трафика на телефонах Cisco 79xx, сервер Call-manager и свитчюги 2960.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чем не устраивает ip arp inspection?

ну или vlan + proxy arp?

http://www.cisco.com/en/US/docs/switches/l....html#wp1332035 - помоему не совсем то выделено, но вцелом статья полезная.

 

Спасибо за помощь, буду разбираться. Недогуглил видимо)

 

И ещё тогда небольшой вопрос - при разделении по отдельным VLAN - как осуществляется маршрутизация между ними? Где набрать 2000 - 3000 тысячи IP-адресов сетей? Даже если юзать минимальную маску 30 - всё равно расход громадный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И ещё тогда небольшой вопрос - при разделении по отдельным VLAN - как осуществляется маршрутизация между ними? Где набрать 2000 - 3000 тысячи IP-адресов сетей? Даже если юзать минимальную маску 30 - всё равно расход громадный.

У cisco есть для этого ip unnumbered, поищи на этом форуме, тем про него много было.

Изменено пользователем qwertzy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вобщем никак не могу разобраться:

работаю на 2960

Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

ASE SOFTWARE (fc2)

Copyright © 1986-2007 by Cisco Systems, Inc.

Compiled Thu 22-Feb-07 13:57 by myl

Image text-base: 0x00003000, data-base: 0x00AA3380

 

и механизм arp фильтрации там явно присутствует, так как

возможно ввести команды

arp access-list vl10

permit response ip host 172.16.0.1 any mac host 0002.4ada.3333 any

deny response ip host 172.16.0.1 any mac any any log

permit request ip host 172.16.0.1 mac host 0002.4ada.3333

deny request ip host 172.16.0.1 mac any log

permit request ip any mac any

permit response ip any any mac any any

 

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

Если версия не поддерживает арп инспекшн, то зачем она тогда позволяет создать для него листы??

 

И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

DAI поддерживается начиная с 12.2(50).

 

И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.

Вам там выше по теме ссылки постили. Там есть раздел Dynamic ARP Inspection :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE3, RELE

НО почему-то подкоманда arp inspection не опознаётся устройством, то есть созданный лист нельзя привязать.

DAI поддерживается начиная с 12.2(50).

Не понятно всё равно. Получается ARP ACL создать уже можно, а использовать нельзя? Типа не до конца реализованая фича, или ARP ACL можно ещё как-то использовать?
И ещё, каким образом настроить DAI таким образом, что бы информация вводилась не вручную, а используя таблицы DHCP snoopinga (предположим он уже настроен и успешно работает)? Вроде пишут что можно а конкрентых команд не видел.
Вам там выше по теме ссылки постили. Там есть раздел Dynamic ARP Inspection :)

Да, действительно, раздел там такой есть)) вот ведь нагородили буржуины проклятые и Arp Inspection и Source IP & MAC filtering и DHCP snooping...) Всё вместе конфигать надо....

тогда ещё небольшой вопрос: для всех фич безопасности задаётся понятие трастед интерфейса, причём оно задаётся в контексте физического интерфейса. А если на физическом интерфейсе находится транк, в котором один абонент трастед, а другой - нет? Например к Cat 2960 по транку подключен управляемый DES-2108, у которого в 1 vlan подключен абонент, а в другой - лигитимный DHCP для другой сети?

 

З.Ы. Никто не выручит более свежей версией IOS? А то SMARTNET'a нема (

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

З.Ы. Никто не выручит более свежей версией IOS? А то SMARTNET'a нема (
Туева хуча всяких ИОСов (88.22 GB) лежит тут - _ttp://rutracker.org/forum/viewtopic.php?t=1694853

Качать наверно лучше выборочно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DAI поддерживается начиная с 12.2(50).

Не понятно всё равно. Получается ARP ACL создать уже можно, а использовать нельзя? Типа не до конца реализованая фича, или ARP ACL можно ещё как-то использовать?

Скорее 'не до конца отрезанная фича' :) Во времена 12.2(25) DAI был в 3750. Скорее всего, когда писали IOS для 2960 взяли общую базу кода, но DAI решили доделать/протестировать потом и отрезали. Отрезали неаккуратно. Бывает :)

 

тогда ещё небольшой вопрос: для всех фич безопасности задаётся понятие трастед интерфейса, причём оно задаётся в контексте физического интерфейса. А если на физическом интерфейсе находится транк, в котором один абонент трастед, а другой - нет? Например к Cat 2960 по транку подключен управляемый DES-2108, у которого в 1 vlan подключен абонент, а в другой - лигитимный DHCP для другой сети?
'лигитимый DHCP' это DHCP сервер, обслуживающий какие-то другие VLAN? Тогда конечно будет сложнее.

Вообще, по замыслу Cisco, штучки типа DAI и Source Guard ориентированы скорее на коммутаторы доступа. Когда у Вас на доступе что-то тупое, то возможностей гораздо меньше.

Можно попробовать сделать этот порт untrusted, но не включать DHCP snooping в VLAN, где стоит DHCP сервер. Правда тогда придется ручками прописать статические мапинги для Source Guard и DAI чтобы трафик в этом VLAN ходил через порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

'лигитимый DHCP' это DHCP сервер, обслуживающий какие-то другие VLAN? Тогда конечно будет сложнее.

Вообще, по замыслу Cisco, штучки типа DAI и Source Guard ориентированы скорее на коммутаторы доступа. Когда у Вас на доступе что-то тупое, то возможностей гораздо меньше.

Можно попробовать сделать этот порт untrusted, но не включать DHCP snooping в VLAN, где стоит DHCP сервер. Правда тогда придется ручками прописать статические мапинги для Source Guard и DAI чтобы трафик в этом VLAN ходил через порт.

Ну вобщем понял - делается через костыли. Штатная привязка порт/vlan не реализована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.