Cramac Опубликовано 7 июня, 2011 (изменено) · Жалоба Всем привет. Подскажите, есть два влана 1 - стандартный в нем все абоненты, и 10 в нем серверное оборудование. в 1 влане, адреса типо 10.10.х.х в 10 - 10.10.10.х есть edge-core es4612 с конфигом (в конце) Так вот как абонент может забив себе адрес 10.10.10.1 в 1 влане, навести смуту в сети ? т.е. перестает отвечать сервер с таким адресом из 10 влана) По динамической таблице со свитча, видно что данный мак (что пробует забрать себе этот адрес) пришел с 1 порта с 1 влана, а сервер в 12 порту в 10 влане. Что у меня не так? sh running-configbuilding running-config, please wait..... ! hostname "center" SNTP server 10.10.10.1 0.0.0.0 0.0.0.0 SNMP-server location "9-b,107" ! ! snmp-server community public ro ! ! username "admin" access-level 15 username "admin" password 7 "" enable password level 15 7 "" ! ! logging history flash 7 ! ! ! ! ! VLAN database VLAN 1 name "DefaultVlan" media ethernet state active VLAN 10 name "server" media ethernet state active VLAN 101 name "segment_1" media ethernet state active VLAN 103 name "segment_3" media ethernet state active VLAN 104 name "segment_4" media ethernet state active VLAN 111 name "GKO" media ethernet state active ! ! ! ! ! no spanning-tree ! spanning-tree MST-configuration ! ! ! ! ! ! ! ! ! interface ethernet 1/1 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/2 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/3 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/4 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/5 switchport allowed VLAN add 1 untagged switchport native VLAN 1 ! interface ethernet 1/6 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10,104 tagged ! interface ethernet 1/7 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10,101 tagged ! interface ethernet 1/8 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport allowed VLAN add 10 tagged ! interface ethernet 1/9 switchport allowed VLAN add 10 untagged switchport native VLAN 10 switchport allowed VLAN remove 1 ! interface ethernet 1/10 switchport allowed VLAN add 1 untagged switchport native VLAN 1 switchport mode trunk switchport allowed VLAN add 1,10,101,111 tagged ! interface ethernet 1/11 switchport allowed VLAN add 10 untagged switchport native VLAN 10 switchport allowed VLAN remove 1 ! interface ethernet 1/12 switchport allowed VLAN add 10 untagged switchport native VLAN 10 switchport allowed VLAN remove 1 ! ! ! interface VLAN 1 IP address 10.10.2.254 255.255.255.0 IP address 10.10.3.254 255.255.255.0 secondary IP address 10.10.5.254 255.255.255.0 secondary IP address 10.10.6.254 255.255.255.0 secondary IP address 10.10.7.254 255.255.255.0 secondary IP address 10.10.8.254 255.255.255.0 secondary IP address 10.10.0.254 255.255.255.0 secondary IP address 10.10.111.254 255.255.255.0 secondary IP DHCP relay server 10.10.10.2 ! interface VLAN 10 IP address 10.10.10.254 255.255.255.0 ! interface VLAN 101 IP address 10.10.1.254 255.255.255.0 IP DHCP relay server 10.10.10.2 ! interface VLAN 103 ! interface VLAN 104 IP address 10.10.4.254 255.255.255.0 IP DHCP relay server 10.10.10.2 ! interface VLAN 111 IP address 10.10.101.254 255.255.255.0 IP DHCP relay server 10.10.10.2 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! no map IP precedence no map IP DSCP ! ! ! ! ! ! ! ! ! ! line console speed auto ! ! line VTY ! ! ! end ! Изменено 7 июня, 2011 пользователем Cramac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 8 июня, 2011 (изменено) · Жалоба Решением может быть использование ip source-guard binding или статические записи arp. Все зависит от порядка обработки пакетов в коммутаторе (а с Edge Core я не работал по сути). Изменено 8 июня, 2011 пользователем passer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 8 июня, 2011 (изменено) · Жалоба статик арп не работает на es4612 а разделение на вланы не должно от таких вещей обезопасить? Изменено 8 июня, 2011 пользователем Cramac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 8 июня, 2011 · Жалоба нет, Есть даже такая атака, когда таблицы коммутатора переполняются и злоумышленник получает доступ ко всему трафику сети. http://nag.ru/articles/reviews/15475/ataka-na-kommutator.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 8 июня, 2011 · Жалоба да, грезы по беззаботной жизни рушатся :) Как можно защититься от такой ситуации? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 8 июня, 2011 · Жалоба лочить флудящие порты, конкретно по настройкам железок - к гуру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 8 июня, 2011 · Жалоба понятно, щас ограничиваемся отключением абонента, но все же время уходит...пока найдешь и отключишь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OlegStr Опубликовано 8 июня, 2011 · Жалоба Я бы не использовал Native VLAN 1 для пользователей и удалил этот VLAN 1 на портах в VLAN 10 http://forum.nag.ru/forum/index.php?showtopic=66172&hl=vlan hopping&st=0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sp!ZER Опубликовано 8 июня, 2011 · Жалоба нет, Есть даже такая атака, когда таблицы коммутатора переполняются и злоумышленник получает доступ ко всему трафику сети. http://nag.ru/articles/reviews/15475/ataka-na-kommutator.html Простите меня глупого... Но каким образом переполнение таблицы коммутации может заставить трафик из одного вилана перетечь в другой? В рамках одного вилана тип M-in-M понятен, но между разными виланами как? Наверное вы согласитесь со мной что, если прилетит пакетик в коммутатор на dst-mac, который еще был не изучен коммутатором, то коммутатор его отправит на все порты в рамках одного вилана, именно того из которого он прилетел? Про вилан согласны? А теперь предлагаю рассмотреть частный случай, когда коммутатор не в состоянии изучить мак (например переполнена таблица fdb), то каждый пакет на dst-mac которого нет в fdb таблице так же будет отправлен на все порты, того вилана из которого он пришел. согласны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 8 июня, 2011 · Жалоба Маршрутизация осуществляется с использованием пары MAC+VLAN. Есть коммутаторы, которые позволяют пересылать трафик, при переполнении таблицы, в конкретный VLAN, а возможно уже появились и такие, которые могут делать так как вы описали, все зависит от чипа и мозга производителя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sp!ZER Опубликовано 9 июня, 2011 · Жалоба Маршрутизация осуществляется с использованием пары MAC+VLAN. Маршрутизация? Маршрутизация - вроде как сетевой уровень, и причем тут канальный. Может быть имеется ввиду коммутация? Есть коммутаторы, которые позволяют пересылать трафик, при переполнении таблицы, в конкретный VLAN, Ну Ваши слоава как раз подтверждают мои, что при переполнение fdb, Man-in-the-Middle будет существовать ТОЛЬКО в том вилане в котором находится аттакующий, но ни как ни в соседенем вилане. а возможно уже появились и такие, которые могут делать так как вы описали, все зависит от чипа и мозга производителя. Я описал как раз то, что описал, и ничего более. Про существование управляемых (именно управляемых, а не мыльниц) коммутаторов, которые при переполнении таблицы начинают слать трафик во все виланы я ничего не знаю. Соответсвенно у тописк стара проблемы с перетечками трафика из одного вилана в другой при описанной схеме сети быть не может. Соотсветсвенно разделение на виланы должно спасти. Надо исследовать схему на наличие неуправляемых коммутаторов в сети из управляемых. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 9 июня, 2011 · Жалоба Маршрутизация? Маршрутизация - вроде как сетевой уровень, и причем тут канальный. Может быть имеется ввиду коммутация? Имелась ввиду таблица мак-адресов. Про существование управляемых (именно управляемых, а не мыльниц) коммутаторов, которые при переполнении таблицы начинают слать трафик во все виланы я ничего не знаю. http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml#wp39061 Соответсвенно у тописк стара проблемы с перетечками трафика из одного вилана в другой при описанной схеме сети быть не может. У ТС, скорее всего, проблема в том что пакеты, которые неизвестно как коммутировать, валятся в native VLAN (1), в котором у него оборудование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sp!ZER Опубликовано 10 июня, 2011 · Жалоба 2ilia_2s Спасибо за ссылочку. Хотя это для кошки а не для эджа. Однако от vlan leaking есть другое средство - VLAN Forbidden. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 11 июня, 2011 · Жалоба и все же, как поступить? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hRUst Опубликовано 11 июня, 2011 · Жалоба Пробуйте убрать native vlan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 22 июня, 2011 (изменено) · Жалоба и все же, как в больших сетях решается проблема конфликтов ип адресов? Максимум что сейчас получается делать, это мониторить арп логи, и блокировать маки таких клиентов на свитче. П.С. натив влан пока не можем убрать. Изменено 22 июня, 2011 пользователем Cramac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 23 июня, 2011 (изменено) · Жалоба и все же, как в больших сетях решается проблема конфликтов ип адресов? например http://xgu.ru/wiki/IP_Source_Guard у других нецисковских - есть аналогичный функционал Изменено 23 июня, 2011 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 23 июня, 2011 · Жалоба эту фишку мы уже тестируем на динамической раздаче, а со статической? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 24 июня, 2011 (изменено) · Жалоба эту фишку мы уже тестируем на динамической раздаче, а со статической? например "Привязка IP-MAC-порт (IP-MAC-Port Binding) Эта функция специально разработана для управления сетями ETTH/ ETTB и офисными сетями Функция IP-MAC-Port Binding в коммутаторах D-Link позволяет контролировать доступ компьютеров в сеть на основе их IP и MAC-адресов, а также порта подключения. Если какая-нибудь составляющая в этой записи меняется, то коммутатор блокирует данный MAC-адрес с занесением его в блок-лист." http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf Изменено 24 июня, 2011 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...