еще раз повторю — вы заблуждаетесь. У меня не остается уже времени на споры с вами. Для начала вы должны перестать смотреть сверху вниз.
DHCP snooping + DAI + IP source guard + port-security — я по прежнему могу послать ложный arp-ответ(сообщить в сеть на арп-запрос, что некий IP это мой мак). Да, я не смогу через себя пропускать ложный трафик, но в арп таблице какого-нибудь Васи Пупкина будет мой мак — а значит он не получит доступ к хосту, тк айпи пакеты пойдут на мой мак, а не на мак Леши, или Пети, или вообще его шлюза. В итоге у него ничего работать не будет. Ваша защита в этом плане бессильна.
И да, когда ты оператор — ты не можешь покупать свитчи за штуку баксов, их у тебя не 10шт, а сотни и тысячи, а порт абонента надо сделать как можно дешевле — никто не хочет платить по 70тр в месяц, а хотят по 200-300р.
вы не понимаете, настройка не персонализированная, она задается согласно специальной модели. Не болит голова запомнить для каждого коммутатора его правила, все что надо иметь — это номер свитча — дальше скрипт сгенерит конфиг и все. Не за чем разбираться в этих ACL
если роутер даже будет знать ARP записи клиентов — это не защитит самих клиентов от арп-спуфинг атаки. Все эти полумеры легко обойти, о которых вы пишете и о каких еще даже не знаете, единственный 100% вариант — вручную контролировать арп-ответы. Вы сильно заблуждаетесь в средствах защиты, которые используете. Я многие подобные вещи обходил на множестве разного рода оборудования, в длинке тоже есть автозащита, настраиваемая шаблонно — но и она не работает как надо.
3 сетевых инженера поддерживают это, но на самом деле это отнимает 20% времени лишь одного из них. Другие же заняты более серьезными задачами.
Смениться адрес не может, dhcp выдает адрес, согласно порту(по dhcp snooping) получает номер свитча и его порт — на dhcp сервере для каждой такой записи заранее сконфигурен пул адресов(из одного адреса, но можно и больше). Если человек меняет порт — меняется и айпи адрес. В лихие 90ые те технологии, которые мы сейчас используем, даже и представить не могли. А поддержку 802.1x должны иметь и оконечные устройства, а мы такого позволить себе не можем в нашем бизнесе.
Автоматически арп-спуфинг невозможно контролировать, только настройка вручную гарантирует 100% защиту. А как защититься, как не контролировать на порту арп ответы, зная заранее какой айпи на этом порту должен быть? Идеально все работает уже многие годы.
почему нет DHCP? все 800 коммутаторов по 26-28 портов.
ACL и dhcp конфигурируется скриптом, так что достаточно указать лишь номер свитча, а далее ctrl-c, ctrl-v и все.
тогда можно только позавидовать тому, сколько у него свободного времени на работе. Тк на дебаг нельзя уделить 10 минут — в него постоянно приходиться вникать в каждой новой ситуации.
на самом деле это самая лучшая и 100% работающая реализация. оговорка лишь одна — все настраивается вручную. Те надо вручную создать ACL и знать на каком порту какие айпи адреса есть, чтобы их ответы разрешить в протоколе arp. Поддерживать это возможно, по крайней мере у нас в фирме это получается на более чем 800 коммутаторов. Главное тут то, что можно контролировать содержимое кадров на аппаратном уровне за вменяемые деньги, а бардак можно где угодно устроить.
ну да, они смешные =))) на самом деле свитч умеет так же просто(как и в вашем примере) блокировать порты. А вообще там есть L4 — в нем указывается смещение после айпи заголовка, вот там и надо матчить.
зачем побайтово? можно вырезать половину? есть изменения, потом половину от половины и тд. Байты обрабатываются последовательно — значит и дело должно быть в последовательности наверняка, так что разные фрагменты в произвольных местах не должны будут повлиять. Лично я не смог даже с его pod реализовать отключение интерфейса на своих сетевухах. Да и у кого-нибудь получилось?
Создается ACL в котором указывается смещение и какое значение там ожидается увидеть, ну и действие — пермит или денай, можно на конкретный порт повесить. www.dlink.ru/ru/faq/75/954.html вот тут даже мануал есть
я организовывал на уровне байтов, например на длинках из 3000 серии за 5 тысяч рублей делается при помощи ACL (в основном 100мбитные порты но есть и пара гигабитных) — вот вам и аппаратный фаервол.
проверил 4 сервера на супермикро с этой сетевухой — бак не воспроизводится. Хотя меня немного смущает, что в его файлах адрес указан как 47f, а в файлах pod-http-post.pcap и pod-icmp-ping.pcap это уже другой адрес, хотя может он имел ввиду относительный адрес, вот только относительно кого?
DHCP snooping + DAI + IP source guard + port-security — я по прежнему могу послать ложный arp-ответ(сообщить в сеть на арп-запрос, что некий IP это мой мак). Да, я не смогу через себя пропускать ложный трафик, но в арп таблице какого-нибудь Васи Пупкина будет мой мак — а значит он не получит доступ к хосту, тк айпи пакеты пойдут на мой мак, а не на мак Леши, или Пети, или вообще его шлюза. В итоге у него ничего работать не будет. Ваша защита в этом плане бессильна.
И да, когда ты оператор — ты не можешь покупать свитчи за штуку баксов, их у тебя не 10шт, а сотни и тысячи, а порт абонента надо сделать как можно дешевле — никто не хочет платить по 70тр в месяц, а хотят по 200-300р.
3 сетевых инженера поддерживают это, но на самом деле это отнимает 20% времени лишь одного из них. Другие же заняты более серьезными задачами.
Смениться адрес не может, dhcp выдает адрес, согласно порту(по dhcp snooping) получает номер свитча и его порт — на dhcp сервере для каждой такой записи заранее сконфигурен пул адресов(из одного адреса, но можно и больше). Если человек меняет порт — меняется и айпи адрес. В лихие 90ые те технологии, которые мы сейчас используем, даже и представить не могли. А поддержку 802.1x должны иметь и оконечные устройства, а мы такого позволить себе не можем в нашем бизнесе.
почему нет DHCP? все 800 коммутаторов по 26-28 портов.
ACL и dhcp конфигурируется скриптом, так что достаточно указать лишь номер свитча, а далее ctrl-c, ctrl-v и все.
www.dlink.ru/ru/faq/75/954.html вот тут даже мануал есть