Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3
RSS
Борьба с arp-спуфингом, Используя управляемый коммутатор
 
arp inspection попробуйте - потом напишите что получится :)
 
arp inspection судя по всему есть только у Cisco, Zyxel и Nortel.
 
Как я понимаю, arp inspection для Cisco есть только динамический? А если ваять статическую таблицу - то она будет действовать на всех интерфейсах?

Привязка IP-MAC binding для Cicso не реализована?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Господа, думаю то что описано ниже, ответит на Все ваши вопросы.
Как правило этого хватает сполна.

Catalyst Integrated Security

• Port Security - Предотвращаем CAM атаки, и атаки на DHCP.
• DHCP Snooping - Предотвращаем атаки фиктивного сервера DHCP
• Dynamic ARP Inspection - Предотвращаем текущие атаки ARP
• IP Source Guard - Предотвращаем иммитацию IP/MAC


Если нет, добавьте денег и вкрутите в схему NAC, CAA, CSA, разрулите порты по VLAN, поставьте дополнительно IDS, Firewall и ArpWatch на unix сервак. - после этого параноя может быть исчезнет :)
 
webster, а где вводится определение CAM атаки? Я никак не найду расшифровку аббревиатуры.
CAM атаки это что, новый Ciscoвский термин, означающий атаки на переполнение таблицы MAC адресов?
Я вижу эту аббревиатуру только тут: http://www.cisco-events.ru/SecurityDay30Nov2007/download/l2.pdf.

Мне кажется этого списка не хватает для полной защиты на Layer 2. А где защита от атак на STP? А защита от VLAN Hopping? В приведенной презентации Жени Линьковой еще упоминается bpduguard, аутентификация VTP, storm-control и другие вещи которые все одновременно я нигде не видел настроенными. :)
В общем на защите layer 2 можно диссертацию написать :)
 
webster, а где вводится определение CAM атаки? Я никак не найду расшифровку аббревиатуры.
CAM атаки это что, новый Ciscoвский термин, означающий атаки на переполнение таблицы MAC адресов?
Я вижу эту аббревиатуру только тут: http://www.cisco-events.ru/SecurityDay30Nov2007/download/l2.pdf.

Мне кажется этого списка не хватает для полной защиты на Layer 2. А где защита от атак на STP? А защита от VLAN Hopping? В приведенной презентации Жени Линьковой еще упоминается bpduguard, аутентификация VTP, storm-control и другие вещи которые все одновременно я нигде не видел настроенными. :)
В общем на защите layer 2 можно диссертацию написать :)
 
Уфф. Нарыл расшифровку: нашел английскую презентацию - там написано, что СAM это Content Addressable Memory.
Получается, что правильный перевод не "CAM атаки", а "атаки на CAM" :)
 
ksiva,
Спасибо за ссылку на последний pdf-ник о безопасности от Евгения Линькова. По ходу, очень интересные темы там подняты... Особенно, мне как начинающему разбираться в безопасности сетей, построенных с применением конфигурируемых свитчей и роутерах  :idea:
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Shanker, Евгения это она ;-) А презентацию лучше смотреть английскую, поскольку при переводе всегда что-нибудь теряется. В google ее легко найти.
 
И в заключение хотелось бы услышать практические шаги для настройки свитчей 8) Безопасность на канальном уровне.
Из всего прочитанного я понял, что:
1. Необходимо включить port security. Необходимо для предотвращения атак САМ и атак на истощение DHCP.Установить статические записи MAC на портах, где не планируется какое-либо перемещение.
3. Использовать аутентификацию на порту коммутатора. Использовать протокол 802.1х.
3. Использовать информацию из таблицы связи отслеживания DHCP. Настроить DHCP Snooping.
4. Используя п. 3 осуществлять динамическую проверку ARP - все пакеты ARP должны соответствовать записям в таблице IP/MAC.
5. Настройка на проверку коммутатором поле запроса CHADDR, уточняя его соответствие аппаратному MAC в связывающей таблице полного отслеживания DHCP.
6. Настроить IP Source Guard, который используя таблицу отслеживания DHCP защищает от подделки IP/MAC. Активировать проверку IP и MAC отдельно либо вместе.

все ли эти настройки осуществляются именно на коммутаторе?
Изменено: Rokot - 20.06.2008 13:37:28
 
Интересно... а как надо настроить коммутатор, чтоб бороться с фиктивными arp-пакетами, у которых в поле ethernet кадра MAC источника будет верным, а в поле ARP-протокола - нет? Можно ли защититься от такой DoS-атаки средствами управляемого коммутатора?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
А в принципе может ли коммутатор, который работает на втором уровне, следить за заголовками ARP-пакетов? Что-то сомневаюсь.
У меня на тему АРП-спуфинга была работа.
Пишешь, что нужно включить PORT-security, по-моему это уже сотни раз обсуждали - не поможет.
Лично я пришел к выводу, что самое простое - это все-таки статические записи на хостах.
Как альтернатива - любая программа типа arp-watch (эта мне особо понравилась).
Интересно, что фаерволы не обнаруживают атаку, хотя такая функция в настройках присутсвует (правда "лицензионность" их была под большим вопросом ;)
 
на фаерах решается командой ip verify reverse path "intname"
http://techoover.blogspot.com/2007/11/unicast-reverse-path-forwarding.html
 
Цитата
Дмитрий Шавков пишет:
1. Необходимо включить port security. Необходимо для предотвращения атак САМ и атак на истощение DHCP.Установить статические записи MAC на портах, где не планируется какое-либо перемещение.
3. Использовать аутентификацию на порту коммутатора. Использовать протокол 802.1х.
3. Использовать информацию из таблицы связи отслеживания DHCP. Настроить DHCP Snooping.
4. Используя п. 3 осуществлять динамическую проверку ARP - все пакеты ARP должны соответствовать записям в таблице IP/MAC.
5. Настройка на проверку коммутатором поле запроса CHADDR, уточняя его соответствие аппаратному MAC в связывающей таблице полного отслеживания DHCP.
6. Настроить IP Source Guard, который используя таблицу отслеживания DHCP защищает от подделки IP/MAC. Активировать проверку IP и MAC отдельно либо вместе.

Народ, скажите, все вышеуказанные настройки производятся на свитчах? Просто я не имею опыта их настройки :(
 
Цитата
Dead Kennedy пишет:
А в принципе может ли коммутатор, который работает на втором уровне, следить за заголовками ARP-пакетов? Что-то сомневаюсь.
Ну, есть же коммутаторы L2+

Цитата
Dead Kennedy пишет:
У меня на тему АРП-спуфинга была работа.
Ссылочку можно?

Цитата
Dead Kennedy пишет:
Лично я пришел к выводу, что самое простое - это все-таки статические записи на хостах.Как альтернатива - любая программа типа arp-watch (эта мне особо понравилась).
Для статических записей - недостатки:
1. Необходимость поддержания статической таблицы в актуальном со-стоянии, учитывая появление новых компьютеров в подсетях, возможное изменение их адресов.
2. При переносе сетевого устройства (станции) из одной подсети в другую придётся создавать новую arp-таблицу.

Для программ мониторинга с arp-watch:

1. Необходимость поддержания arp- таблицы программы в актуальном состоянии, учитывая появление новых компьютеров в подсетях, воз-можное изменение их адресов.
2. Необходимость зеркалирования всего трафика на компьютер с arpwatch, что снижает производительность сетевого оборудования.
3. В каждом широковещательном домене нужен свой компьютер с arpwatch.
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Народ, где производятся вышеупомянутые настройки? Непосредственно на свитчах? Какие свитчи обладают такими настройками, если это так? :?:
 
Rokot, практически все _управляемые_ свитчи обладают таким настройками
 
Цитата
Rokot пишет:

                                                               ЦитатаДмитрий Шавков пишет:

1. Необходимо включить port security. Необходимо для предотвращения атак САМ и атак на истощение DHCP.Установить статические записи MAC на портах, где не планируется какое-либо перемещение.

3. Использовать аутентификацию на порту коммутатора. Использовать протокол 802.1х.

3. Использовать информацию из таблицы связи отслеживания DHCP. Настроить DHCP Snooping.

4. Используя п. 3 осуществлять динамическую проверку ARP - все пакеты ARP должны соответствовать записям в таблице IP/MAC.

5. Настройка на проверку коммутатором поле запроса CHADDR, уточняя его соответствие аппаратному MAC в связывающей таблице полного отслеживания DHCP.

6. Настроить IP Source Guard, который используя таблицу отслеживания DHCP защищает от подделки IP/MAC. Активировать проверку IP и MAC отдельно либо вместе.



Народ, скажите, все вышеуказанные настройки производятся на свитчах? Просто я не имею опыта их настройки

с 2940 все останавливается на пункте 3. (который про 802.1x) так как DHCP snooping и DAI на 2900 вобще нет и не планируется.

ЗЫ. Да на свичах. 3500 и выше, тоесть тех которые L3. Технология основана на том, что IP раздаются с помощью DHCP и свитч эту раздачу отслеживает.
Изменено: grub - 01.09.2008 18:24:25
Страницы: Пред. 1 2 3
Читают тему