Comments 16
>Самый простой способ защиты – ограничение числа MAC-адресов на порту коммутатора. Реализуется это с помощью функции port-security
Прибивание мака гвоздями к порту — кошмарно неудобное решение, потому практически не используется.
>Дело в том, что размер таблицы MAC-адресов у любого коммутатора ограничен. При переполнении старые адреса удаляются, заменяясь новыми (FIFO)
Нет.
Алгоритм таков. При получении пакета проверяется наличие smac в CAM таблице. Если присутствует, то обнуляется счетчик. Если отсутствует, то проверяется наличие свободной банки. Если банка есть, то записываем, иначе пропускаем этот шаг и ничего не делаем. Таким образом, если легитимный хост шлет пакеты чаще чем по одному за aging time, то его не вытеснят.
>Поэтому даже если порт настроен в режиме access/auto при получении запроса на согласование его состояние может измениться на trunk/auto.
Обычно принято говорить «switchport mode access». Это исключает согласование в транк.
Switchport noneg — другое. Это значит, что свитч не будет слать DTP. И если режим порта dynamic, то включить noneg не получится.
>Еще один возможный вектор атаки VLAN hopping – использование native VLAN и добавление второго тега
Атака сугубо теоретическая. На современных каталистах (как минимум) не должна работать.
Прибивание мака гвоздями к порту — кошмарно неудобное решение, потому практически не используется.
>Дело в том, что размер таблицы MAC-адресов у любого коммутатора ограничен. При переполнении старые адреса удаляются, заменяясь новыми (FIFO)
Нет.
Алгоритм таков. При получении пакета проверяется наличие smac в CAM таблице. Если присутствует, то обнуляется счетчик. Если отсутствует, то проверяется наличие свободной банки. Если банка есть, то записываем, иначе пропускаем этот шаг и ничего не делаем. Таким образом, если легитимный хост шлет пакеты чаще чем по одному за aging time, то его не вытеснят.
>Поэтому даже если порт настроен в режиме access/auto при получении запроса на согласование его состояние может измениться на trunk/auto.
Обычно принято говорить «switchport mode access». Это исключает согласование в транк.
Switchport noneg — другое. Это значит, что свитч не будет слать DTP. И если режим порта dynamic, то включить noneg не получится.
>Еще один возможный вектор атаки VLAN hopping – использование native VLAN и добавление второго тега
Атака сугубо теоретическая. На современных каталистах (как минимум) не должна работать.
+5
del
0
Неоднократно встречал в домосетях и мелких провайдерах на «мыльницах», когда с помощью второй проблемы борются с первой, даже инструмент специальный есть dhcdrop, так что иногда второй вид атаки это «фича а не бага». А вообще общеизвестные это инструменты, вы бы еще loopback detect описали. Все векторы атаки, кроме (VLAN hopping) решаются связкой opt82+DHCP-Snoop, а сам hopping на современном железе не воспроизвести.
0
По поводу подмены мака — какой-то «рекомендованный» способ так себе — у каталистов есть ip verify source, который будет сравнивать мак и ip отправителя с записью в таблице dhcp snooping для данного порта и отбросит все пакеты, не подходящие под этот критерий.
+1
Traffic segmentation и запрет общения клиентов между собой на l2 — ещё один способ защиты от описанных атак. Правда не во всех случаях применим, но тем не менее…
0
мне одному кажется что вместо DNS-сервера должен быть DHCP?
0
> Шифрование трафика – в таком случае хоть все кадры и будут рассылаться широковещательно…
Таблицы маков — это L2, а шифрование — это аж L6. Как эти вещи связаны? Как шифрование траффика поможет защититься от перезаполнения таблиц маков??
Кстати, коммутаторы хранят не совсем таблицу. Хранится хэш по паре мак-порт. так поиск работает быстрее
Таблицы маков — это L2, а шифрование — это аж L6. Как эти вещи связаны? Как шифрование траффика поможет защититься от перезаполнения таблиц маков??
Кстати, коммутаторы хранят не совсем таблицу. Хранится хэш по паре мак-порт. так поиск работает быстрее
0
Таблицы маков — это L2, а шифрование — это аж L6.
Откройте для себя шифрование на уровне L2 — MACSec.
Кстати, коммутаторы хранят не совсем таблицу. Хранится хэш по паре мак-порт. так поиск работает быстрее
Понятное дело, что они не перебором ищут :) Но и таблицу тоже хранят, из которой строится хеш.
0
Думаю, имелось в виду, что при шифровании на L6-L7 атаки на низлежащих уровнях могут привести к отказу в обслуживании, но не к перехвату трафика или MITM.
О существовании реализаций macsec на участке между свитчем и клиентом мне слышать не доводилось.
О существовании реализаций macsec на участке между свитчем и клиентом мне слышать не доводилось.
0
Открыл, спасибо.
А разве MACSec доступен в РФ? там ж вроде лицензия ФСБ требуется.
А разве MACSec доступен в РФ? там ж вроде лицензия ФСБ требуется.
0
рекомендую рассмотреть(странно что Вы сами это не упомянули):
1) для DHCP использовать DHCP relay + opt.82
2) ddos protection, acl, arp spoofing pervention, loopdetect, filted netbios/extnetbios
3) кстати, почему нет фильтрации мультикастов? /злобный смех/
1) для DHCP использовать DHCP relay + opt.82
2) ddos protection, acl, arp spoofing pervention, loopdetect, filted netbios/extnetbios
3) кстати, почему нет фильтрации мультикастов? /злобный смех/
0
Sign up to leave a comment.
Защищаем сеть L2 коммутаторами