[Ivan_83]

А EAP-PEAP нету в ваймаксе?

[NiTr0]

Проблема в том что нет в радио столько ресурса чтобы забивать его бродкастовой ***ней в угоду больным людям.

Какой бродкаст, вы о чем вообще??? Бродкастом ходит DHCPDISCOVER/DHCPOFFER (аналоги PADI/PADO). Остальное - чистый юникаст. Учите матчасть что ли... Тогда не будут мерщиться грабли там, где их нет.

 

Вот нашелся хаб в щитке, провод идет в мою квартиру. Что вы мне предъявите?

Несанкционированное вмешательство в системы передачи данных. То же самое, что и подключение к чужой телефонной линии, с названиванием в Нигерию. Да-да, за это очень больно дают по рукам. Ибо раскрывается элементарно, улики - налицо, а отдел К заинтересован в показателях...

 

Сделать то можно, раз плюнуть. но вот ложных срабатываний длин кабеля будет столько, что ваши монтажники Вас же и проклянут.

К тому же корректные данные от нее можно получить только в том случае если кабель вынут из сетевого оборудования.

Длина кабеля определяется достаточно точно. Если резко на десяток-другой метров укоротился - должно настораживать.

 

Поменять IP/MAC может любой школьник. Без знаний вовсе.

Чтобы поднять левый PPPoE сервер, поснифать трафик и прочее -уже нужно обладать хоть какими то знаниями. А людям которые это могут обычно оное не интересно.

Не говоря уж о чем то более сложном.

Подмена IP/MAC поможет только в неуправляемой помойке. В нормальной сети - абонент привязывается к порту (опция 82/qinq).

 

В конце концов -в любом доме сейчас есть десятки wi-fi сетей. Взломать их еще проще, есть даже готовый софт. Сиди и собирай пакеты.

WPA/WPA2 так не поломаешь. Другое дело - если пров сам дает клиенту пароль на WPA2, считая невозможным подключение к CPE по терминалу :)

[Sonne]

А EAP-PEAP нету в ваймаксе?

 

Там нативный EAP-TTLS для логин/пароль аутентификации и EAP-TLS для MAC аутентификации. Я когда изучал это все дело удивлялся насколько все было придумано разумно. Как коммунизм, который как идея был хорошим, да люди не те попадались. Правда жизни в том, что других людей у нас нет.

[Ivan_83]

Сырой софт на ваймакс железках?

[Sonne]

Расшифруйте вопрос.

[Ivan_83]

EAP-TTLS не работает на всех ваймакс железках?

Те что мешает сделать на подобии того как я тут описал: http://forum.nag.ru/forum/index.php?showtopic=96795&view=findpost&p=1022363 ?

[Sonne]

EAP-TTLS не работает на всех ваймакс железках?

Те что мешает сделать на подобии того как я тут описал: http://forum.nag.ru/forum/index.php?showtopic=96795&view=findpost&p=1022363 ?

 

Ничего не мешает, мало того все уже так сделано.

Я задавал вопрос о переводе L3 на L2 c хостроутингом. В итоге пришел к выводу что сделать это простым способом можно только с помощью PPPOE. После чего выслушал град советов и нотации о дырявости PPOE. Советов, которые в данном случае совершенно лишние и бесполезные.

 

Теперь когда все узнали что никаких проблем с аунтентификацией нет, поговорим об L2 + маршрутизации?

[Ivan_83]

Чем проксиарп не устраивает?

 

Если хочешь "плавный"=моментальное переключение то придётся какие то скрипты всё таки городить, чтобы не ждать пока арп запись из кеша устареет.

Если у тебя радиус для 802.1х уже работает и видно не только кто подключился но и отключился, то на базе FreeRADIUS это делается относительно не сложно.

[NiTr0]

Чем проксиарп не устраивает?

Уточню - proxyarp с изоляцией клиентов базы (т.о. и проблема гуляющих бродкастов/мультикастов решается к слову)...

[Sonne]

Протестировали Lease time = 1 минута на DHCP сервере Mikrotik. Работает нормально.

Так же сделали Rate-Limit в DHCP через радиус. Тоже работает нормально.

 

Остается решить городить ли костыли для редистрибуции /32 роутов или все же резать сеть на крупные сегменты

и использовать обычную маршрутизацию.

[s.lobanov]

Остается решить городить ли костыли для редистрибуции /32 роутов

это не костыль, а нормальная практика, если речь идёт о белых ipv4

[Sonne]

Остается решить городить ли костыли для редистрибуции /32 роутов

это не костыль, а нормальная практика, если речь идёт о белых ipv4

 

Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль. Белые IP я давным давно раздаю через static 1:1 nat.

[NiTr0]

ospf redistribute ARP

Это как раз костыль и есть. Ибо создает гемор с разграничением - что редистрибутить, а что нет, и в случае ошибки - сеть ложится... Создание маршрута на клиента в момент установки сессии и удаление его по истечении сессии более идеологически верно.

 

Белые IP я давным давно раздаю через static 1:1 nat.

Еще один костыль... Не, работает ессно, но - коряво и неудобно...

[Sonne]

ospf redistribute ARP

Это как раз костыль и есть. Ибо создает гемор с разграничением - что редистрибутить, а что нет, и в случае ошибки - сеть ложится... Создание маршрута на клиента в момент установки сессии и удаление его по истечении сессии более идеологически верно.

 

Redistribute это дословно "создание маршрута". Непонятно с чем вы даже тут пытаетесь спорить.

Вопрос по какому триггеру создавать маршруты. В плоском сегменте, по запросу DHCP? А если я отключу DHCP и пропишу IP статически?

Если вдумчиво поразмыслить, то станет понятно что только наличие ARP записи дает гарантию полного соответствия между маршрутизацией и состоянием хоста.

 

Белые IP я давным давно раздаю через static 1:1 nat.

Еще один костыль... Не, работает ессно, но - коряво и неудобно...

 

Костыль это очень удобно, когда нет ноги.

[Ivan_83]

то станет понятно что только наличие ARP записи дает гарантию полного соответствия между маршрутизацией и состоянием хоста.

арп инспекшин включи на клиентских портах при такой схеме, а то будет весело.

[s.lobanov]

Остается решить городить ли костыли для редистрибуции /32 роутов

это не костыль, а нормальная практика, если речь идёт о белых ipv4

 

Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль. Белые IP я давным давно раздаю через static 1:1 nat.

 

Конечно, микротик не умеет(?) создавать маршрут /32 на абонента(видимо, это устаревшая технология), поэтому надо придумывать и внедрять redistribute-arp. гениально же!

 

создание /32 на кастомера на основе dhcp-сигнализации идеалогически верно по той причине, что это подтверждается вашим сервером, а загадить arp и тем самым насоздавать маршрутов любой может (что приводит к очередному костылю - arp inspection)

 

А если я отключу DHCP и пропишу IP статически?

 

Это уже другой способ подключения. Если абонент хочет так подключаться, то считайте, что это просто другая услуга. Реализация - /30(очень дорого в плане IP-адресов) или статическое прописывание маршрута /32 в конфиге роутера и выделенный влан

[Saab95]

создание /32 на кастомера на основе dhcp-сигнализации идеалогически верно по той причине, что это подтверждается вашим сервером, а загадить arp и тем самым насоздавать маршрутов любой может (что приводит к очередному костылю - arp inspection)

 

Перерыв все равно будет, т.к. на анонс маршрутов нужно время. Что бы не заморачиваться со старой записью, можно новой делать меньшую метрику в OSPF и трафик пойдет из центра на нее.

[zi_rus]

Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль

в IOS XR вижу такое

 

RP/0/RSP0/CPU0:Router#show ip route vrf aaa
...
A - access/subscriber
...
A    10.9.252.5/32 is directly connected, 1w2d, BVI5
A    10.9.252.8/32 is directly connected, 2w6d, BVI5
A    10.9.252.9/32 is directly connected, 01:01:45, BVI5
A    10.9.252.10/32 is directly connected, 6w1d, BVI5
A    10.9.252.11/32 is directly connected, 2w2d, BVI5
A    10.9.252.12/32 is directly connected, 3w3d, BVI5
A    10.9.252.17/32 is directly connected, 3w4d, BVI5
...
RP/0/RSP0/CPU0:Router(config-bgp-vrf-af)#redistribute ?
...
 subscriber  subscriber routes

кто-то уже придумал :)

 

но нюансы работы этой штуки я не знаю, мы не пользуемся.

[NiTr0]

Redistribute это дословно "создание маршрута". Непонятно с чем вы даже тут пытаетесь спорить.

redistribute - это не создание маршрута. Это - сообщение о маршруте соседям.

Вы предлагаете для каждой ARP записи в таблице передавать маршрут соседям. Итог - в OSPF в случае неверных настроек (ошибка оператора) вы мигом получаете кучу мусора. А уж если кто-то начинает слать spoofed arp запросы...

 

Вопрос по какому триггеру создавать маршруты. В плоском сегменте, по запросу DHCP? А если я отключу DHCP и пропишу IP статически?

Если вдумчиво поразмыслить, то станет понятно что только наличие ARP записи дает гарантию полного соответствия между маршрутизацией и состоянием хоста.

Хотите статики - пожалуйста, конфигурите статикой маршрут на клиента на роутере, и будет вам статика. Ессно, никакого контроля "сессии" не будет.

А наличие автоматической ретрансляции ARP записи на самом деле дает дополнительно огромный простор для того, чтобы выстрелить себе в ногу. Ну разве что вместо старта "сессии" по DHCP сделать старт по ARP who-has, с запросом на радиус...

[zi_rus]

Итог - в OSPF в случае неверных настроек

в оспф не должно быть клиентских маршрутов, ни /30, ни /32. при определенных масштабах, это просто само по себе начинает сказываться на сходимости, лучший вариант использовать людой igp только для распространения лупбеков роутеров, а между ними поднять bgp и в нем гонять все клиентское

 

А уж если кто-то начинает слать spoofed arp запросы

спуфинг на доступе должен быть закрыт, это же азбука

[Sonne]

Redistribute это дословно "создание маршрута". Непонятно с чем вы даже тут пытаетесь спорить.

redistribute - это не создание маршрута. Это - сообщение о маршруте соседям.

В IPoE маршрут /32 создается с единственной целью - проанонсить маршруты через протокол маршрутизации и сообщить соседям. Больше ни для чего не требуется данный костыль. В PPP есть отдельные интерфейсы, поэтому там маршрут /32 объективная необходимость.

 

Вы предлагаете для каждой ARP записи в таблице передавать маршрут соседям. Итог - в OSPF в случае неверных настроек (ошибка оператора) вы мигом получаете кучу мусора. А уж если кто-то начинает слать spoofed arp запросы...

Я ничего подобного не предлагаю. Я предлагаю редистрибуцию делать не на основе события DHCP, а на основе ARP. При этом никто не запрещает скрестить это скажем с радиусом и иметь аутентификацию.

 

 

Вы так пишите словно нельзя заспуфить DHCP запросы и точно так же забить кучей мусора роутер. Или наоборот применить аутентификацию или фильтрацию используемую в DHCP для обсуждаемой процедуры.

 

Вопрос по какому триггеру создавать маршруты. В плоском сегменте, по запросу DHCP? А если я отключу DHCP и пропишу IP статически?

Если вдумчиво поразмыслить, то станет понятно что только наличие ARP записи дает гарантию полного соответствия между маршрутизацией и состоянием хоста.

Хотите статики - пожалуйста, конфигурите статикой маршрут на клиента на роутере, и будет вам статика.

 

Причем здесь то чего я хочу? Неужто великие специалисты по сетевой безопасности не знают что на любой железке можно отключить DHCP и поставить статический IP например соседа. Нельзя строить схему DHCP не учитывая возможности ручной установки IP.

[Sonne]

Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль

в IOS XR вижу такое

 

На цисках бывает все что можно. Проблема в том, что установка необходимых цисок чаще всего делает проект бессмысленным с экономической точки зрения.

[zi_rus]

Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль

в IOS XR вижу такое

 

На цисках бывает все что можно. Проблема в том, что установка необходимых цисок чаще всего делает проект бессмысленным с экономической точки зрения.

Cisco входит в множество "кто-нибудь"

[s.lobanov]

кто-то уже придумал :)

 

но нюансы работы этой штуки я не знаю, мы не пользуемся.

вопрос не в том какой буковкой эти роуты обозначаются, а в том как они появляются. На IOS-XE для subscriber-роутов используется обычный S(static), но разницы от этого особо нет - разве что в удобстве, не надо писать префикс-фильтр/роут-мап, чтоб отматчить именно subscriber-роуты.

Sonne же предлагает делать роуты именно на основе ARP-таблицы и пофиг каким образом эта arp-таблица.

[s.lobanov]

Причем здесь то чего я хочу? Неужто великие специалисты по сетевой безопасности не знают что на любой железке можно отключить DHCP и поставить статический IP например соседа. Нельзя строить схему DHCP не учитывая возможности ручной установки IP.

 

Если речь идёт про IP/arp-spoofing(что действительно возможно на практике), то это проблема элементарно решается L2-изоляцией и формированием arp-таблицы на основе сигнализации(что делают нормальные брасы)

 

С mac-spoofing'ом ситуация несколько интересней, некоторые брасы не умеют держать более одного мака в пределах одного логического интерфейса(который описывают список dot1q или qinq номеров). Но и мак-спуфинг явление куда более редкое, чем ip/arp - спуфинг, чаще это бывают перепрошитые роутеры под openwrt с одинаковым маком или кривые мат.платы(тоже с одинаковым маком)