Cramac Posted June 7, 2011 Posted June 7, 2011 (edited) Всем привет. Подскажите, есть два влана 1 - стандартный в нем все абоненты, и 10 в нем серверное оборудование. в 1 влане, адреса типо 10.10.х.х в 10 - 10.10.10.х есть edge-core es4612 с конфигом (в конце) Так вот как абонент может забив себе адрес 10.10.10.1 в 1 влане, навести смуту в сети ? т.е. перестает отвечать сервер с таким адресом из 10 влана) По динамической таблице со свитча, видно что данный мак (что пробует забрать себе этот адрес) пришел с 1 порта с 1 влана, а сервер в 12 порту в 10 влане. Что у меня не так? sh running-configbuilding running-config, please wait..... ! hostname "center" SNTP server 10.10.10.1 0.0.0.0 0.0.0.0 SNMP-server location "9-b,107" ! ! snmp-server community public ro ! ! username "admin" access-level 15 username "admin" password 7 "" enable password level 15 7 "" ! ! logging history flash 7 ! ! ! ! ! VLAN database VLAN 1 name "DefaultVlan" media ethernet state active VLAN 10 name "server" media ethernet state active VLAN 101 name "segment_1" media ethernet state active VLAN 103 name "segment_3" media ethernet state active VLAN 104 name "segment_4" media ethernet state active VLAN 111 name "GKO" media ethernet state active ! ! ! ! ! no spanning-tree ! spanning-tree MST-configuration ! ! ! ! ! ! ! ! ! interface ethernet 1/1 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/2 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/3 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/4 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/5 switchport allowed VLAN add 1 untagged switchport native VLAN 1 ! interface ethernet 1/6 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10,104 tagged ! interface ethernet 1/7 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10,101 tagged ! interface ethernet 1/8 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/9 switchport allowed VLAN add 10 untagged switchport native VLAN 10 switchport allowed VLAN remove 1 ! interface ethernet 1/10 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport mode trunk switchport allowed VLAN add 1,10,101,111 tagged ! interface ethernet 1/11 switchport allowed VLAN add 10 untagged switchport native VLAN 10 switchport allowed VLAN remove 1 ! interface ethernet 1/12 switchport allowed VLAN add 10 untagged switchport native VLAN 10 switchport allowed VLAN remove 1 ! ! ! interface VLAN 1 IP address 10.10.2.254 255.255.255.0 IP address 10.10.3.254 255.255.255.0 secondary IP address 10.10.5.254 255.255.255.0 secondary IP address 10.10.6.254 255.255.255.0 secondary IP address 10.10.7.254 255.255.255.0 secondary IP address 10.10.8.254 255.255.255.0 secondary IP address 10.10.0.254 255.255.255.0 secondary IP address 10.10.111.254 255.255.255.0 secondary IP DHCP relay server 10.10.10.2 ! interface VLAN 10 IP address 10.10.10.254 255.255.255.0 ! interface VLAN 101 IP address 10.10.1.254 255.255.255.0 IP DHCP relay server 10.10.10.2 ! interface VLAN 103 ! interface VLAN 104 IP address 10.10.4.254 255.255.255.0 IP DHCP relay server 10.10.10.2 ! interface VLAN 111 IP address 10.10.101.254 255.255.255.0 IP DHCP relay server 10.10.10.2 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! no map IP precedence no map IP DSCP ! ! ! ! ! ! ! ! ! ! line console speed auto ! ! line VTY ! ! ! end ! Edited June 7, 2011 by Cramac Вставить ник Quote
passer Posted June 8, 2011 Posted June 8, 2011 (edited) Решением может быть использование ip source-guard binding или статические записи arp. Все зависит от порядка обработки пакетов в коммутаторе (а с Edge Core я не работал по сути). Edited June 8, 2011 by passer Вставить ник Quote
Cramac Posted June 8, 2011 Author Posted June 8, 2011 (edited) статик арп не работает на es4612 а разделение на вланы не должно от таких вещей обезопасить? Edited June 8, 2011 by Cramac Вставить ник Quote
ilia_2s Posted June 8, 2011 Posted June 8, 2011 нет, Есть даже такая атака, когда таблицы коммутатора переполняются и злоумышленник получает доступ ко всему трафику сети. http://nag.ru/articles/reviews/15475/ataka-na-kommutator.html Вставить ник Quote
Cramac Posted June 8, 2011 Author Posted June 8, 2011 да, грезы по беззаботной жизни рушатся :) Как можно защититься от такой ситуации? Вставить ник Quote
ilia_2s Posted June 8, 2011 Posted June 8, 2011 лочить флудящие порты, конкретно по настройкам железок - к гуру. Вставить ник Quote
Cramac Posted June 8, 2011 Author Posted June 8, 2011 понятно, щас ограничиваемся отключением абонента, но все же время уходит...пока найдешь и отключишь. Вставить ник Quote
OlegStr Posted June 8, 2011 Posted June 8, 2011 Я бы не использовал Native VLAN 1 для пользователей и удалил этот VLAN 1 на портах в VLAN 10 http://forum.nag.ru/forum/index.php?showtopic=66172&hl=vlan hopping&st=0 Вставить ник Quote
Sp!ZER Posted June 8, 2011 Posted June 8, 2011 нет, Есть даже такая атака, когда таблицы коммутатора переполняются и злоумышленник получает доступ ко всему трафику сети. http://nag.ru/articles/reviews/15475/ataka-na-kommutator.html Простите меня глупого... Но каким образом переполнение таблицы коммутации может заставить трафик из одного вилана перетечь в другой? В рамках одного вилана тип M-in-M понятен, но между разными виланами как? Наверное вы согласитесь со мной что, если прилетит пакетик в коммутатор на dst-mac, который еще был не изучен коммутатором, то коммутатор его отправит на все порты в рамках одного вилана, именно того из которого он прилетел? Про вилан согласны? А теперь предлагаю рассмотреть частный случай, когда коммутатор не в состоянии изучить мак (например переполнена таблица fdb), то каждый пакет на dst-mac которого нет в fdb таблице так же будет отправлен на все порты, того вилана из которого он пришел. согласны? Вставить ник Quote
ilia_2s Posted June 8, 2011 Posted June 8, 2011 Маршрутизация осуществляется с использованием пары MAC+VLAN. Есть коммутаторы, которые позволяют пересылать трафик, при переполнении таблицы, в конкретный VLAN, а возможно уже появились и такие, которые могут делать так как вы описали, все зависит от чипа и мозга производителя. Вставить ник Quote
Sp!ZER Posted June 9, 2011 Posted June 9, 2011 Маршрутизация осуществляется с использованием пары MAC+VLAN. Маршрутизация? Маршрутизация - вроде как сетевой уровень, и причем тут канальный. Может быть имеется ввиду коммутация? Есть коммутаторы, которые позволяют пересылать трафик, при переполнении таблицы, в конкретный VLAN, Ну Ваши слоава как раз подтверждают мои, что при переполнение fdb, Man-in-the-Middle будет существовать ТОЛЬКО в том вилане в котором находится аттакующий, но ни как ни в соседенем вилане. а возможно уже появились и такие, которые могут делать так как вы описали, все зависит от чипа и мозга производителя. Я описал как раз то, что описал, и ничего более. Про существование управляемых (именно управляемых, а не мыльниц) коммутаторов, которые при переполнении таблицы начинают слать трафик во все виланы я ничего не знаю. Соответсвенно у тописк стара проблемы с перетечками трафика из одного вилана в другой при описанной схеме сети быть не может. Соотсветсвенно разделение на виланы должно спасти. Надо исследовать схему на наличие неуправляемых коммутаторов в сети из управляемых. Вставить ник Quote
ilia_2s Posted June 9, 2011 Posted June 9, 2011 Маршрутизация? Маршрутизация - вроде как сетевой уровень, и причем тут канальный. Может быть имеется ввиду коммутация? Имелась ввиду таблица мак-адресов. Про существование управляемых (именно управляемых, а не мыльниц) коммутаторов, которые при переполнении таблицы начинают слать трафик во все виланы я ничего не знаю. http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml#wp39061 Соответсвенно у тописк стара проблемы с перетечками трафика из одного вилана в другой при описанной схеме сети быть не может. У ТС, скорее всего, проблема в том что пакеты, которые неизвестно как коммутировать, валятся в native VLAN (1), в котором у него оборудование. Вставить ник Quote
Sp!ZER Posted June 10, 2011 Posted June 10, 2011 2ilia_2s Спасибо за ссылочку. Хотя это для кошки а не для эджа. Однако от vlan leaking есть другое средство - VLAN Forbidden. Вставить ник Quote
Cramac Posted June 11, 2011 Author Posted June 11, 2011 и все же, как поступить? :) Вставить ник Quote
Cramac Posted June 22, 2011 Author Posted June 22, 2011 (edited) и все же, как в больших сетях решается проблема конфликтов ип адресов? Максимум что сейчас получается делать, это мониторить арп логи, и блокировать маки таких клиентов на свитче. П.С. натив влан пока не можем убрать. Edited June 22, 2011 by Cramac Вставить ник Quote
Lynx10 Posted June 23, 2011 Posted June 23, 2011 (edited) и все же, как в больших сетях решается проблема конфликтов ип адресов? например http://xgu.ru/wiki/IP_Source_Guard у других нецисковских - есть аналогичный функционал Edited June 23, 2011 by Lynx10 Вставить ник Quote
Cramac Posted June 23, 2011 Author Posted June 23, 2011 эту фишку мы уже тестируем на динамической раздаче, а со статической? Вставить ник Quote
Lynx10 Posted June 24, 2011 Posted June 24, 2011 (edited) эту фишку мы уже тестируем на динамической раздаче, а со статической? например "Привязка IP-MAC-порт (IP-MAC-Port Binding) Эта функция специально разработана для управления сетями ETTH/ ETTB и офисными сетями Функция IP-MAC-Port Binding в коммутаторах D-Link позволяет контролировать доступ компьютеров в сеть на основе их IP и MAC-адресов, а также порта подключения. Если какая-нибудь составляющая в этой записи меняется, то коммутатор блокирует данный MAC-адрес с занесением его в блок-лист." http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf Edited June 24, 2011 by Lynx10 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.