Достаточно ли контроля по Mac?

[XoRe 0]

Имхо, в сети на неуправляемых свичах против атаки типа man in the middle очень хорошо помогает жесткая привязка мак-адресов к ип-адресам на шлюзе.

Тогда трафик от компа "посередине" будет отбрасываться, т.к. не будет соответствовать паре "ип-адрес юзера:мак-адрес юзера".

Кроме того хакеру будет сложно подставить свой мак-адрес как мак-адрес шлюза, т.к. винда довольно резво обновляет арп таблицу.

А шлюз с привязкой отвечает на запрос мак-адреса любого компа в локалке, в том числе и своего.

Причем, у меня есть такая догадка, что шлюз на *nix отвечает оперативнее и стабильнее, чем программа для сниффинга.

[Queeq 0]

А шлюз с привязкой отвечает на запрос мак-адреса любого компа в локалке, в том числе и своего.

Класс! Не знал Очень мудро сделано.

[xguru 0]

Дело в том что

1) Статический ARP на шлюзе не защищает от односторонней атаки против клиентов; он спасает только шлюз

2) ARP-ответы ettercap'ом и dsfniff'ом отправляются не на запросы, а всё время; каждые несколько секунд в цикле

 

Что касается анонса чужих адресов шлюзом,

да это он это делает, но не всегда,

а только в том случае, если вы ставите напротив адреса

флаг pub (в FreeBSD).

[Queeq 0]

Клиента можно защитить поставив файрвол. У аутпоста, например, есть функция "принимать только первый арп-ответ". Думаю, что сервак быстрее ответит. Если, конечно, злоумышленник не сидит на том же свиче.

Хотя даже если mim удастся, а на серваке стоит защита, то просто не установится TCP сессия с удалённым хостом (ведь шлюз не будет форвардить пакеты от злоумышленника).

[xguru 0]

Хотя даже если mim удастся, а на серваке стоит защита, то просто не установится TCP сессия с удалённым хостом (ведь шлюз не будет форвардить пакеты от злоумышленника).

Шлюз в этом процессе вообще не принимает участия.

ARP-spoofing возможен только в пределах одного широковещательного домена!

 

Шлюз может принимать участие в ARP-spoofing'е только при условии, что он - это одна из жертв (ну или нападающий

 

Что касается брандмауэра на локальной станции, да это правда.

[Queeq 0]

Шлюз в этом процессе вообще не принимает участия.

ARP-spoofing возможен только в пределах одного широковещательного домена!

Как это шлюз не принимает участия? Чтобы осуществить man-in-the-middle атаку при помощи ARP'a злоумышленник должен сделать так, чтобы:

1. Клиент думал, что шлюз - это комп злоумышленника и отправлял пакеты на ЕГО мак-адрес.

2. Шлюз думал, что клиент - комп злоумышленника и тоже отправлял пакеты, адресованные настоящему клиенту, на мак-адрес атакующего.

Да, АРП-спуфинг возможен в пределах одной подсети.

 

Как это осуществляется.

Например, компьютер А - клиент, компьютер Б - атакующий, компьютер С - шлюз. Все находятся в одной подсети.

Если не стоит никакой защиты от арп-спуфинга, действие будет разворачиваться так:

1. Комп А посылает арп-запрос компу С.

2. Комп С видит арп-запрос с его IP-адресом, source - мак и IP клиента. Записывает эту связку ип-мак в свой АРП-кеш и отправляет ответ клиенту.

3. Комп А записывает себе в кеш связку IP-мак шлюза.

4.Комп Б отправляет два арп-ответа:

- клиенту, со связкой IP-адрес шлюза и мак компа Б

- шлюзу, со связкой IP-адрес клиента и мак компа Б

5. Комп А и Комп С обновляют свой АРП-кеш неправильными данными. Теперь весь трафик проходит через комп Б.

[XoRe 0]

только в том случае, если вы ставите напротив адреса

флаг pub (в FreeBSD).

Да, именно так и делается )

 

Скажем так, привязка с анонсом если не помешает Man In The Middle, то сильно осложнит её работу.

Точнее у атакуемого компа инет станет очень и очень хреновым.

Если вообще что-то откроется.

Кроме того, комп хакера будет получать только запросы от клиента в интернет.

Ответы шлюз будет посылать именно на мак адрес клиента.

[Creator 0]

Вобщем определились что для защиты от спуфинга нужен статический MAC но мы отвлеклись от темы.

 

Кто что скажет о свитчах L2+ т.е. добавка по IP и TCP? Для чего она полезна будет?

[Creator 0]

Опять все молчат.

Кто нибудь покупает свитчи L2+? Для чего вы именно их покупаете?

[XoRe 0]

Для понту )

Купить одну штучку и ходить понтоваться.

Эй, конкуренты, вы все ещё на мыльницах?

А у нас уже во!

Целый 1 свич управляемый!

=)

 

А если серьёзно, то управляемые свичи с отключением порта необходимы для 100% отключения юзера от сети за неуплату или просто так.

+ крайне желательна железная прибивка на порт мак адреса и можно ещё ip адреса.

Данная функциональность необходима ethernet провайдеру.

Чем раньше такое внедрять, тем лучше.

 

+ обычно в таких свичах ещё есть vlan'ы, QoS'ы и прочие вкусности.

[Denis 0]

2: XoRe

огласите весь список пожалуйста.

Модель свичей управляемых,

можно по возрастанию цены

который вы используете у себя в сети.

 

их возможности реальные

в отличии от заявленых отличаються?

 

 

ищу 24 портовый свич (контроль мультикаста + МАС на порт ) уже потерялся в разнообразии хотелосьбы новодку прямую.

[Neelix 33]

я брал Compex 8 и 16 портовые

[tyoma 79]

я брал Compex 8 и 16 портовые

эт наверно ПС2216? а они уже умеют мак вязать к порту?)

[Creator 0]

я брал Compex 8 и 16 портовые

эт наверно ПС2216? а они уже умеют мак вязать к порту?)

Нет, не могут

[andrew82 1]

Ребята, а есть аналог Arpwatch под винду ?

Желательно с уведомлениями и прочими вкусностями.

[XoRe 0]

2Denis:

У нас сеть на 99% на неуправляемых свичах.

[Creator 0]

2Denis:

У нас сеть на 99% на неуправляемых свичах.

Как я понимаю, вы на это не жалуетесь?

[XoRe 0]

2Creator:

Тут работает закон "80/20".

Грубо говоря:

80% юзеров причиняют 20% проблем.

20% юзеров причиняют остальные 80%.

 

Т.е. в большинстве случаев не жалуемся, но иногда чувствуется необходимость в более умном оборудовании.

В любом случае, мы нацелены на сеть с управляемым сетевым оборудованием.

[xguru 0]

Статья про ARP-spoofing на

 

http://xgu.ru/wiki/ARP-spoofing

 

дописана.

 

Милости просим с критикой, замечаниями и пожеланиями

[alex_o 1,194]

Да, ребята! Весело тут у вас . Посмотришь, в одних трэдах люди рассуждают, как надо оптику ложить по колодцам, да распаивать ее исключительно японскими сварочниками. А в других трэдах эти же люди говорят, что использовать управляемые свичи не имеет смысла. Взывает недоумение.

 

Мы используем управляемые свичи для решения нескольких задачь.

 

Во-первых, вся сетка построена в виде сот-колец с протоколом RSTP. Если где-то падает линк, абоненты этого не замечают вообще. Зато это сразу видит администратор.

 

Во-вторых, любой нормальный свич имеет оптические порты. Это упрощает подключение к оптическим магистралям.

 

В-третьих, ЛЮБОГО абонента можно оперативно отключить, не вставая со своего админского кресла.

 

В-четвертых, с помощью виланов можно легко разделить абонентов на несколько уровней доступа и сделать для них невидимым все свое активное оборудование в сети. Вешать каждого юзера в свой вилан - это для совсем богатых. При размере сети более 1000 юзеров попробуйте представить себе - КАКАЯ железяка должна стоять в ядре и терминировать все виланы.

 

В-пятых, во всех нормальных свичах Л2 есть такая фича - порт секурити. Это когда на порту задается либо жесткая привязка МАС, либо указывается максимально допустимое их количество. И то и другое автоматом умножает на 0 все попытки арп-флудинга и арг-поисонинга. Кроме того, обычно есть еще контроль полосы пропускания РАЗДЕЛЬНО для юникаста/броадкаста/мультикаста по каждому порту. Это позволяет при резком увеличении флуда завалить скорость потока на порту абонента, вплоть до отключения порта.

 

В-шестых, если в свиче есть ACL, вы автоматом получаете довольно неплохой фильтр пакетов/протоколов (а-ля фаервол). Можно фильтровать нежелательный трафик уже на уровне доступа в сегмент, а не на уровне ядра.

 

В-восьмых, вы получаете статистику как по каждому абоненту в отдельности, так и по всем магистралям.

 

В-девятых, IGMP-снупинг позволит вам значительно снизить нагрузку на магистрали при использовании мультикастовых вещаний.

 

Неплохая идея - привязывать на порт доступа не МАС, а только IP. Это даст абоненту свободу в использовании разного железа (иногда дома имеют несколько компов).

 

Есть только одна неприятность у управляемых свичей - цена. Но с другой стороны именно это позволяет отделить нормальную сеть от пионеров. Причем со стороны абонента разница в качестве сервиса будет видна буквально через неделю работы с сетью.

 

Любая сеть, построенная на обычных тупых мыльницах, как бы хорошо она не была сделана, начнет периодически загибаться от различных проблем с трафиком уже при 500 абонентах.

[deep_admin 1]

согласен с предыдущим постом, но есть много НО:

- практически все управляемые свитчи которын на по деньгам тянут на уровень доступа ($100-$180) легко ложаться от ХОРОШЕГО флуда, причем вешается либо управление, либо вообще все

- при замыкании rx на tx, такие свитчи вообще начинают чудить, не спасает даже loopback detection (точнее он определяет - и виснет )

- после выгорания порта (грозы/статика/итд) тоже начинаются разные чудеса

- RSTP это гуд, но покажите мне свитч за указанные мной деньги где это нормально работает (в идеале MSTP)

 

PS: очень хочется каталисты ставить на доступ , но приходится обходится длинками/асотелами

[alex_o 1,194]

- RSTP это гуд, но покажите мне свитч за указанные мной деньги где это нормально работает (в идеале MSTP)

D-Link DES-30XX. Замечательный функционал в указанном диаппазоне цен.

 

Каталисты на уровне доступа - это когда деньги уже совсем некуда девать.

 

Чтобы свич не ложился от флуда надо делать (как я уже говорил) порт-секурити. Тогда таблица МАС не переполняется. И интерфейс управления надо делать в отдельном от абонентов вилане. Тогда свич будет доступен всегда (если конечно у него есть питание и не обрезаны все провода).

[Wave 0]

Да, ребята! Весело тут у вас . Посмотришь, в одних трэдах люди рассуждают, как надо оптику ложить по колодцам, да распаивать ее исключительно японскими сварочниками. А в других трэдах эти же люди говорят, что использовать управляемые свичи не имеет смысла. Взывает недоумение.

 

Мы используем управляемые свичи для решения нескольких задачь.

 

Во-первых, вся сетка построена в виде сот-колец с протоколом RSTP. Если где-то падает линк, абоненты этого не замечают вообще. Зато это сразу видит администратор.

 

Во-вторых, любой нормальный свич имеет оптические порты. Это упрощает подключение к оптическим магистралям.

 

В-третьих, ЛЮБОГО абонента можно оперативно отключить, не вставая со своего админского кресла.

 

В-четвертых, с помощью виланов можно легко разделить абонентов на несколько уровней доступа и сделать для них невидимым все свое активное оборудование в сети. Вешать каждого юзера в свой вилан - это для совсем богатых. При размере сети более 1000 юзеров попробуйте представить себе - КАКАЯ железяка должна стоять в ядре и терминировать все виланы.

 

В-пятых, во всех нормальных свичах Л2 есть такая фича - порт секурити. Это когда на порту задается либо жесткая привязка МАС, либо указывается максимально допустимое их количество. И то и другое автоматом умножает на 0 все попытки арп-флудинга и арг-поисонинга. Кроме того, обычно есть еще контроль полосы пропускания РАЗДЕЛЬНО для юникаста/броадкаста/мультикаста по каждому порту. Это позволяет при резком увеличении флуда завалить скорость потока на порту абонента, вплоть до отключения порта.

 

В-шестых, если в свиче есть ACL, вы автоматом получаете довольно неплохой фильтр пакетов/протоколов (а-ля фаервол). Можно фильтровать нежелательный трафик уже на уровне доступа в сегмент, а не на уровне ядра.

 

В-восьмых, вы получаете статистику как по каждому абоненту в отдельности, так и по всем магистралям.

 

В-девятых, IGMP-снупинг позволит вам значительно снизить нагрузку на магистрали при использовании мультикастовых вещаний.

 

Неплохая идея - привязывать на порт доступа не МАС, а только IP. Это даст абоненту свободу в использовании разного железа (иногда дома имеют несколько компов).

 

Есть только одна неприятность у управляемых свичей - цена. Но с другой стороны именно это позволяет отделить нормальную сеть от пионеров. Причем со стороны абонента разница в качестве сервиса будет видна буквально через неделю работы с сетью.

 

Любая сеть, построенная на обычных тупых мыльницах, как бы хорошо она не была сделана, начнет периодически загибаться от различных проблем с трафиком уже при 500 абонентах.

написал толково

какие свичи рекомендуешь использовать?

[alex_o 1,194]

Мы используем на уровне доступа D-Link DES-30ХХ. На уровне распределения ставим D-Link DES-3526 (ИМХО, самая лучшая железяка в этом классе).

[mace 16]

На уровне распределения ставим D-Link DES-3526 (ИМХО, самая лучшая железяка в этом классе).

И сколько домов такая железка на уровне распределения может обслуживать? Она ведь изначально проектировалась на уровень доступа.

А для уровня распределения у D-Link есть DES-3828 (около 600-700 у.е.) - такую железку туда не пробовали ставить?