Перейти до

Достаточно ли контроля по Mac?


Рекомендованные сообщения

Имхо, в сети на неуправляемых свичах против атаки типа man in the middle очень хорошо помогает жесткая привязка мак-адресов к ип-адресам на шлюзе.

Тогда трафик от компа "посередине" будет отбрасываться, т.к. не будет соответствовать паре "ип-адрес юзера:мак-адрес юзера".

Кроме того хакеру будет сложно подставить свой мак-адрес как мак-адрес шлюза, т.к. винда довольно резво обновляет арп таблицу.

А шлюз с привязкой отвечает на запрос мак-адреса любого компа в локалке, в том числе и своего.

Причем, у меня есть такая догадка, что шлюз на *nix отвечает оперативнее и стабильнее, чем программа для сниффинга.

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 59
  • Створено
  • Остання відповідь

Top Posters In This Topic

А шлюз с привязкой отвечает на запрос мак-адреса любого компа в локалке, в том числе и своего.

Класс! Не знал :( Очень мудро сделано.

Ссылка на сообщение
Поделиться на других сайтах

Дело в том что

1) Статический ARP на шлюзе не защищает от односторонней атаки против клиентов; он спасает только шлюз

2) ARP-ответы ettercap'ом и dsfniff'ом отправляются не на запросы, а всё время; каждые несколько секунд в цикле

 

Что касается анонса чужих адресов шлюзом,

да это он это делает, но не всегда,

а только в том случае, если вы ставите напротив адреса

флаг pub (в FreeBSD).

Ссылка на сообщение
Поделиться на других сайтах

Клиента можно защитить поставив файрвол. У аутпоста, например, есть функция "принимать только первый арп-ответ". Думаю, что сервак быстрее ответит. Если, конечно, злоумышленник не сидит на том же свиче.

Хотя даже если mim удастся, а на серваке стоит защита, то просто не установится TCP сессия с удалённым хостом (ведь шлюз не будет форвардить пакеты от злоумышленника).

Ссылка на сообщение
Поделиться на других сайтах
Хотя даже если mim удастся, а на серваке стоит защита, то просто не установится TCP сессия с удалённым хостом (ведь шлюз не будет форвардить пакеты от злоумышленника).

Шлюз в этом процессе вообще не принимает участия.

ARP-spoofing возможен только в пределах одного широковещательного домена!

 

Шлюз может принимать участие в ARP-spoofing'е только при условии, что он - это одна из жертв (ну или нападающий :(

 

Что касается брандмауэра на локальной станции, да это правда.

Ссылка на сообщение
Поделиться на других сайтах
Шлюз в этом процессе вообще не принимает участия.

ARP-spoofing возможен только в пределах одного широковещательного домена!

Как это шлюз не принимает участия? Чтобы осуществить man-in-the-middle атаку при помощи ARP'a злоумышленник должен сделать так, чтобы:

1. Клиент думал, что шлюз - это комп злоумышленника и отправлял пакеты на ЕГО мак-адрес.

2. Шлюз думал, что клиент - комп злоумышленника и тоже отправлял пакеты, адресованные настоящему клиенту, на мак-адрес атакующего.

Да, АРП-спуфинг возможен в пределах одной подсети.

 

Как это осуществляется.

Например, компьютер А - клиент, компьютер Б - атакующий, компьютер С - шлюз. Все находятся в одной подсети.

Если не стоит никакой защиты от арп-спуфинга, действие будет разворачиваться так:

1. Комп А посылает арп-запрос компу С.

2. Комп С видит арп-запрос с его IP-адресом, source - мак и IP клиента. Записывает эту связку ип-мак в свой АРП-кеш и отправляет ответ клиенту.

3. Комп А записывает себе в кеш связку IP-мак шлюза.

4.Комп Б отправляет два арп-ответа:

- клиенту, со связкой IP-адрес шлюза и мак компа Б

- шлюзу, со связкой IP-адрес клиента и мак компа Б

5. Комп А и Комп С обновляют свой АРП-кеш неправильными данными. Теперь весь трафик проходит через комп Б.

Ссылка на сообщение
Поделиться на других сайтах
только в том случае, если вы ставите напротив адреса

флаг pub (в FreeBSD).

Да, именно так и делается )

 

Скажем так, привязка с анонсом если не помешает Man In The Middle, то сильно осложнит её работу.

Точнее у атакуемого компа инет станет очень и очень хреновым.

Если вообще что-то откроется.

Кроме того, комп хакера будет получать только запросы от клиента в интернет.

Ответы шлюз будет посылать именно на мак адрес клиента.

Ссылка на сообщение
Поделиться на других сайтах

Вобщем определились что для защиты от спуфинга нужен статический MAC но мы отвлеклись от темы.

 

Кто что скажет о свитчах L2+ т.е. добавка по IP и TCP? Для чего она полезна будет?

Ссылка на сообщение
Поделиться на других сайтах

Для понту )

Купить одну штучку и ходить понтоваться.

Эй, конкуренты, вы все ещё на мыльницах?

А у нас уже во!

Целый 1 свич управляемый!

=)

 

А если серьёзно, то управляемые свичи с отключением порта необходимы для 100% отключения юзера от сети за неуплату или просто так.

+ крайне желательна железная прибивка на порт мак адреса и можно ещё ip адреса.

Данная функциональность необходима ethernet провайдеру.

Чем раньше такое внедрять, тем лучше.

 

+ обычно в таких свичах ещё есть vlan'ы, QoS'ы и прочие вкусности.

Ссылка на сообщение
Поделиться на других сайтах

2: XoRe

огласите весь список пожалуйста. :)

Модель свичей управляемых,

можно по возрастанию цены

который вы используете у себя в сети.

 

их возможности реальные

в отличии от заявленых отличаються?

 

 

ищу 24 портовый свич (контроль мультикаста + МАС на порт ) уже потерялся в разнообразии хотелосьбы новодку прямую.

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

2Creator:

Тут работает закон "80/20".

Грубо говоря:

80% юзеров причиняют 20% проблем.

20% юзеров причиняют остальные 80%.

 

Т.е. в большинстве случаев не жалуемся, но иногда чувствуется необходимость в более умном оборудовании.

В любом случае, мы нацелены на сеть с управляемым сетевым оборудованием.

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Да, ребята! Весело тут у вас :) . Посмотришь, в одних трэдах люди рассуждают, как надо оптику ложить по колодцам, да распаивать ее исключительно японскими сварочниками. А в других трэдах эти же люди говорят, что использовать управляемые свичи не имеет смысла. Взывает недоумение.

 

Мы используем управляемые свичи для решения нескольких задачь.

 

Во-первых, вся сетка построена в виде сот-колец с протоколом RSTP. Если где-то падает линк, абоненты этого не замечают вообще. Зато это сразу видит администратор.

 

Во-вторых, любой нормальный свич имеет оптические порты. Это упрощает подключение к оптическим магистралям.

 

В-третьих, ЛЮБОГО абонента можно оперативно отключить, не вставая со своего админского кресла.

 

В-четвертых, с помощью виланов можно легко разделить абонентов на несколько уровней доступа и сделать для них невидимым все свое активное оборудование в сети. Вешать каждого юзера в свой вилан - это для совсем богатых. При размере сети более 1000 юзеров попробуйте представить себе - КАКАЯ железяка должна стоять в ядре и терминировать все виланы.

 

В-пятых, во всех нормальных свичах Л2 есть такая фича - порт секурити. Это когда на порту задается либо жесткая привязка МАС, либо указывается максимально допустимое их количество. И то и другое автоматом умножает на 0 все попытки арп-флудинга и арг-поисонинга. Кроме того, обычно есть еще контроль полосы пропускания РАЗДЕЛЬНО для юникаста/броадкаста/мультикаста по каждому порту. Это позволяет при резком увеличении флуда завалить скорость потока на порту абонента, вплоть до отключения порта.

 

В-шестых, если в свиче есть ACL, вы автоматом получаете довольно неплохой фильтр пакетов/протоколов (а-ля фаервол). Можно фильтровать нежелательный трафик уже на уровне доступа в сегмент, а не на уровне ядра.

 

В-восьмых, вы получаете статистику как по каждому абоненту в отдельности, так и по всем магистралям.

 

В-девятых, IGMP-снупинг позволит вам значительно снизить нагрузку на магистрали при использовании мультикастовых вещаний.

 

Неплохая идея - привязывать на порт доступа не МАС, а только IP. Это даст абоненту свободу в использовании разного железа (иногда дома имеют несколько компов).

 

Есть только одна неприятность у управляемых свичей - цена. Но с другой стороны именно это позволяет отделить нормальную сеть от пионеров. Причем со стороны абонента разница в качестве сервиса будет видна буквально через неделю работы с сетью.

 

Любая сеть, построенная на обычных тупых мыльницах, как бы хорошо она не была сделана, начнет периодически загибаться от различных проблем с трафиком уже при 500 абонентах.

Ссылка на сообщение
Поделиться на других сайтах

согласен с предыдущим постом, но есть много НО:

- практически все управляемые свитчи которын на по деньгам тянут на уровень доступа ($100-$180) легко ложаться от ХОРОШЕГО флуда, причем вешается либо управление, либо вообще все

- при замыкании rx на tx, такие свитчи вообще начинают чудить, не спасает даже loopback detection (точнее он определяет - и виснет :) )

- после выгорания порта (грозы/статика/итд) тоже начинаются разные чудеса

- RSTP это гуд, но покажите мне свитч за указанные мной деньги где это нормально работает (в идеале MSTP)

 

PS: очень хочется каталисты ставить на доступ :), но приходится обходится длинками/асотелами

Ссылка на сообщение
Поделиться на других сайтах
- RSTP это гуд, но покажите мне свитч за указанные мной деньги где это нормально работает (в идеале MSTP)

D-Link DES-30XX. Замечательный функционал в указанном диаппазоне цен.

 

Каталисты на уровне доступа - это когда деньги уже совсем некуда девать.

 

Чтобы свич не ложился от флуда надо делать (как я уже говорил) порт-секурити. Тогда таблица МАС не переполняется. И интерфейс управления надо делать в отдельном от абонентов вилане. Тогда свич будет доступен всегда (если конечно у него есть питание и не обрезаны все провода).

Ссылка на сообщение
Поделиться на других сайтах
Да, ребята! Весело тут у вас :) . Посмотришь, в одних трэдах люди рассуждают, как надо оптику ложить по колодцам, да распаивать ее исключительно японскими сварочниками. А в других трэдах эти же люди говорят, что использовать управляемые свичи не имеет смысла. Взывает недоумение.

 

Мы используем управляемые свичи для решения нескольких задачь.

 

Во-первых, вся сетка построена в виде сот-колец с протоколом RSTP. Если где-то падает линк, абоненты этого не замечают вообще. Зато это сразу видит администратор.

 

Во-вторых, любой нормальный свич имеет оптические порты. Это упрощает подключение к оптическим магистралям.

 

В-третьих, ЛЮБОГО абонента можно оперативно отключить, не вставая со своего админского кресла.

 

В-четвертых, с помощью виланов можно легко разделить абонентов на несколько уровней доступа и сделать для них невидимым все свое активное оборудование в сети. Вешать каждого юзера в свой вилан - это для совсем богатых. При размере сети более 1000 юзеров попробуйте представить себе - КАКАЯ железяка должна стоять в ядре и терминировать все виланы.

 

В-пятых, во всех нормальных свичах Л2 есть такая фича - порт секурити. Это когда на порту задается либо жесткая привязка МАС, либо указывается максимально допустимое их количество. И то и другое автоматом умножает на 0 все попытки арп-флудинга и арг-поисонинга. Кроме того, обычно есть еще контроль полосы пропускания РАЗДЕЛЬНО для юникаста/броадкаста/мультикаста по каждому порту. Это позволяет при резком увеличении флуда завалить скорость потока на порту абонента, вплоть до отключения порта.

 

В-шестых, если в свиче есть ACL, вы автоматом получаете довольно неплохой фильтр пакетов/протоколов (а-ля фаервол). Можно фильтровать нежелательный трафик уже на уровне доступа в сегмент, а не на уровне ядра.

 

В-восьмых, вы получаете статистику как по каждому абоненту в отдельности, так и по всем магистралям.

 

В-девятых, IGMP-снупинг позволит вам значительно снизить нагрузку на магистрали при использовании мультикастовых вещаний.

 

Неплохая идея - привязывать на порт доступа не МАС, а только IP. Это даст абоненту свободу в использовании разного железа (иногда дома имеют несколько компов).

 

Есть только одна неприятность у управляемых свичей - цена. Но с другой стороны именно это позволяет отделить нормальную сеть от пионеров. Причем со стороны абонента разница в качестве сервиса будет видна буквально через неделю работы с сетью.

 

Любая сеть, построенная на обычных тупых мыльницах, как бы хорошо она не была сделана, начнет периодически загибаться от различных проблем с трафиком уже при 500 абонентах.

написал толково

какие свичи рекомендуешь использовать?

Ссылка на сообщение
Поделиться на других сайтах

Мы используем на уровне доступа D-Link DES-30ХХ. На уровне распределения ставим D-Link DES-3526 (ИМХО, самая лучшая железяка в этом классе).

Ссылка на сообщение
Поделиться на других сайтах
На уровне распределения ставим D-Link DES-3526 (ИМХО, самая лучшая железяка в этом классе).

И сколько домов такая железка на уровне распределения может обслуживать? Она ведь изначально проектировалась на уровень доступа.

А для уровня распределения у D-Link есть DES-3828 (около 600-700 у.е.) - такую железку туда не пробовали ставить?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...