Как можно не допустить подмену IP адреса на чужой машине? Раньше эта проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через arp -s, но теперь встретился с фактом, что можно на некоторых картах прямо в их настройках вручную изменять мас. Можно ли как-либо ещё что-то сделать, чтобы избежать такого проникновения?
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?настроить аутинтификацию чреез pptoe в случае ethernet и на основе логина-пароля выдавать правильный ip
>настроить аутинтификацию чреез pptoe в случае ethernet и на основе логина-пароля выдавать
>правильный ipЕще можно блокировку левых MAC на клиентской дырке свича устроить.
А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к MAC (все время MACи меняются,ноутбуки)
>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>MAC (все время MACи меняются,ноутбуки)
тогда это будет уже не свитч - роутер, ибо ip-адреса должны разбираться на 3 уровне модели OSI
>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>
>
>тогда это будет уже не свитч - роутер, ибо ip-адреса должны разбираться
>на 3 уровне модели OSIНе совсем так...
Catalyst 2950 цискин вроде как умеет ip access-lists на ethernetах:)
>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>MAC (все время MACи меняются,ноутбуки)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что в конкретном влане будет только определённые пары IP-MAC.
Интересно что мешает им менять такие пары?Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия VPN (логин-пароль) нету.
>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их
>обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН
>и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что
>в конкретном влане будет только определённые пары IP-MAC.
>Интересно что мешает им менять такие пары?
>У >Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия
>VPN (логин-пароль) нету.
У меня есть 2900XL-LRE с самым простым софтом. Напишите,кто знает
как ip access-lists на Longreachethernet. Я пробовал но чего-то не получилось.
И кстати... Плохой пример на SMC TigerSwitch L3,т.к теряем ip адреса
конфигурим порт 1
192.168.1.1/30
по логике и на практике в этот порт могут проходить только 2 ip 192.168.1.2-3,(шлюз у них соответственно 192.168.1.1)один из них запрещаем.
Так работает и без MAC=IP, но помоему это все-равно голяк.
>У меня есть 2900XL-LRE с самым простым софтом. Напишите,кто знает
>как ip access-lists на Longreachethernet. Я пробовал но чего-то не получилось.На 2900XL-LRE по-моему никак:(
Если я не ошибаюсь, там нет такой возможности.
>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их
>обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН
>и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что
>в конкретном влане будет только определённые пары IP-MAC.
>Интересно что мешает им менять такие пары?Если случай такой: порт=N * IP-адрес, где N=1, то правильно раелизованный фильтр на L2-свитче просто не пропустит пакет c некорректным IP. В отличии от L3-девайса его не заботят такие мелочи, как mac<>IP - при фильтрации используются только смещения в пакете.
DOS, конечно, устроить можно все равно, но от многих проблем избавляет...>
>Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия
>VPN (логин-пароль) нету.Защита от подмены пары IP-mac есть вещь по сути своей бессмысленная. VPN защищает от подмены таки юзера, знающего логин и пароль, а не IP или mac. Есть ище задачи привязки адреса к конкретной точке, типа "10.0.0.1 в сортире третьего этажа, 2-я кабинка от окна". И не очень интересует, кто в этой кабинке сидит:)
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
Почитай следующее: http://www.securitylab.ru/?ID=33493
Хотя мое мнение, что лучше всего организовывать PPPoE, тогда будет *ГАРАТНИРОВАННО*, что никто "левый" твой трафик не скушает. :)____
Lion
>Хотя мое мнение, что лучше всего организовывать PPPoE, тогда будет *ГАРАТНИРОВАННО*, что
>никто "левый" твой трафик не скушает. :)а разве при PPPoE идет шифрование трафика?
на 3550 и 2950 можно использовать ACL, даже в L2 варианте
есть еще решение. Private VLAN (protected port). Читаем www.cisco.com
>на 3550 и 2950 можно использовать ACL, даже в L2 варианте
>есть еще решение. Private VLAN (protected port). Читаем www.cisco.comА вот такой вопрос. А если клиент заплатил зе месяц работы (городская сеть) абонплату. И как его через месяц отключить? и какими средставми.
>>на 3550 и 2950 можно использовать ACL, даже в L2 варианте
>>есть еще решение. Private VLAN (protected port). Читаем www.cisco.com
>
>А вот такой вопрос. А если клиент заплатил зе месяц работы (городская
>сеть) абонплату. И как его через месяц отключить? и какими
>средставми.пример - билинг считает статистику и после обнуления счета лезет на
клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
клиент отрубается тк мас не его. и все
>клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
>клиент отрубается тк мас не его. и всену скока можно? - ИП и МАК НЕ МОГУТ однозначно определить клиента (кроме определенных случаев), поскольку и то и другое меняется в течении нескольких секунд со стороны клиента совершенно свободно.
>>клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
>>клиент отрубается тк мас не его. и все
>
>ну скока можно? - ИП и МАК НЕ МОГУТ однозначно определить клиента
>(кроме определенных случаев), поскольку и то и другое меняется в течении
>нескольких секунд со стороны клиента совершенно свободно.
А никто не задумывался что можно сделат IPsec и раздавать
сертификаты только определенным юзерам.Или например написать небольшой демон,
чтобы висел и каждые 10 секунд "пинговал" сервер пакетами авторизации.
И если сервер не получил этого пакета несколько раз то firewallом
запретить доступ с ip адреса.
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?Проблема решается либо с помощью VPN либо VLAN. С VPN думаю объяснять не нужно с VLAN делается так:
Каждый клиент подключается к отдельному порту свитча. Каждый порт привязывается к одному VLANу. На одном из портов свитча поднимается VLAN Trunk (ISL или 802.1Q). Этот транк втыкается в порт маршрутизатора на котором нужно сделать примерно следующее!
access-list 1 permit 192.168.11.5
access-list 2 permit 192.168.12.5!
interface FastEthernet8/1/0
no ip address
no ip directed-broadcast
no ip route-cache distributed
no ip mroute-cache
!
interface FastEthernet8/1/0.101
encapsulation isl 101
ip address 192.168.11.6 255.255.255.252
ip access-group 1 in
ip access-group 99 out!
interface FastEthernet8/1/0.201
encapsulation isl 201
ip address 192.168.12.6 255.255.255.252
ip access-group 2 in
ip access-group 99 outГде .101 и тд. номер VLANа (на указанные в примере цифры не обращайте внимание, делайте как вам удобно).
Таким образом вы не только защититесь от подмены IP адреса и прослушивания пользователями друг друга, но и получите гибкий механизм управления передачей трафика при помощи списков доступа.