The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как можно установить защиту от подмены IP адреса"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как можно установить защиту от подмены IP адреса"
Сообщение от darckly emailИскать по авторуВ закладки on 02-Окт-02, 17:46  (MSK)
Как можно не допустить подмену IP адреса на чужой машине? Раньше эта проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через arp -s, но теперь встретился с фактом, что можно на некоторых картах прямо в их настройках вручную изменять мас. Можно ли как-либо ещё что-то сделать, чтобы избежать такого проникновения?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от J Искать по авторуВ закладки on 03-Окт-02, 10:54  (MSK)
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?

настроить аутинтификацию чреез pptoe в случае ethernet и на основе логина-пароля выдавать правильный ip

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от uldus Искать по авторуВ закладки on 03-Окт-02, 12:34  (MSK)
>настроить аутинтификацию чреез pptoe в случае ethernet и на основе логина-пароля выдавать
>правильный ip

Еще можно блокировку левых MAC на клиентской дырке свича устроить.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от Romanych Искать по авторуВ закладки on 06-Окт-02, 17:16  (MSK)
А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к MAC (все время MACи меняются,ноутбуки)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от J Искать по авторуВ закладки on 07-Окт-02, 17:41  (MSK)
>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>MAC (все время MACи меняются,ноутбуки)


тогда это будет уже не свитч - роутер, ибо ip-адреса должны разбираться на 3 уровне модели OSI

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от yur Искать по авторуВ закладки on 09-Окт-02, 05:12  (MSK)
>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>
>
>тогда это будет уже не свитч - роутер, ибо ip-адреса должны разбираться
>на 3 уровне модели OSI

Не совсем так...
Catalyst 2950 цискин вроде как умеет ip access-lists на ethernetах:)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от bass emailИскать по авторуВ закладки on 09-Окт-02, 05:32  (MSK)
>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>MAC (все время MACи меняются,ноутбуки)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что в конкретном влане будет только определённые пары IP-MAC.
Интересно что мешает им менять такие пары?

Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия VPN (логин-пароль) нету.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от Romanych emailИскать по авторуВ закладки on 09-Окт-02, 13:02  (MSK)
>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их
>обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН
>и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что
>в конкретном влане будет только определённые пары IP-MAC.
>Интересно что мешает им менять такие пары?
>У >Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия
>VPN (логин-пароль) нету.


У меня есть 2900XL-LRE с самым простым софтом. Напишите,кто знает
как ip access-lists на Longreachethernet. Я пробовал но чего-то не получилось.
И кстати... Плохой пример на SMC TigerSwitch L3,т.к теряем ip адреса
конфигурим порт 1
192.168.1.1/30
по логике и на практике в этот порт могут проходить только 2 ip 192.168.1.2-3,(шлюз у них соответственно 192.168.1.1)один из них запрещаем.
Так работает и без MAC=IP, но помоему это все-равно голяк.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от yur Искать по авторуВ закладки on 10-Окт-02, 04:10  (MSK)
>У меня есть 2900XL-LRE с самым простым софтом. Напишите,кто знает
>как ip access-lists на Longreachethernet. Я пробовал но чего-то не получилось.

На 2900XL-LRE по-моему никак:(
Если я не ошибаюсь, там нет такой возможности.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от yur Искать по авторуВ закладки on 10-Окт-02, 04:07  (MSK)
>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их
>обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН
>и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что
>в конкретном влане будет только определённые пары IP-MAC.
>Интересно что мешает им менять такие пары?

Если случай такой: порт=N * IP-адрес, где N=1, то правильно раелизованный фильтр на L2-свитче просто не пропустит пакет c некорректным IP. В отличии от L3-девайса его не заботят такие мелочи, как mac<>IP - при фильтрации используются только смещения в пакете.
DOS, конечно, устроить можно все равно, но от многих проблем избавляет...

>
>Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия
>VPN (логин-пароль) нету.

Защита от подмены пары IP-mac есть вещь по сути своей бессмысленная. VPN защищает от подмены таки юзера, знающего логин и пароль, а не IP или mac. Есть ище задачи привязки адреса к конкретной точке, типа "10.0.0.1 в сортире третьего этажа, 2-я кабинка от окна". И не очень интересует, кто в этой кабинке сидит:)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от LionSoftware emailИскать по авторуВ закладки on 17-Окт-02, 18:38  (MSK)
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
Почитай следующее: http://www.securitylab.ru/?ID=33493
Хотя мое мнение, что лучше всего организовывать PPPoE, тогда будет *ГАРАТНИРОВАННО*, что никто "левый" твой трафик не скушает. :)

____
Lion

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от mega emailИскать по авторуВ закладки on 28-Окт-02, 11:32  (MSK)
>Хотя мое мнение, что лучше всего организовывать PPPoE, тогда будет *ГАРАТНИРОВАННО*, что
>никто "левый" твой трафик не скушает. :)

а разве при PPPoE идет шифрование трафика?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от Volume Искать по авторуВ закладки on 08-Ноя-02, 22:05  (MSK)
на 3550 и 2950 можно использовать ACL, даже в L2 варианте
есть еще решение. Private VLAN (protected port). Читаем www.cisco.com
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от Sib Искать по авторуВ закладки on 06-Июн-03, 11:50  (MSK)
>на 3550 и 2950 можно использовать ACL, даже в L2 варианте
>есть еще решение. Private VLAN (protected port). Читаем www.cisco.com

А вот такой вопрос. А если клиент заплатил зе месяц работы (городская сеть)  абонплату. И как его через месяц отключить? и какими средставми.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от Oktopus Искать по авторуВ закладки on 12-Июн-03, 23:47  (MSK)
>>на 3550 и 2950 можно использовать ACL, даже в L2 варианте
>>есть еще решение. Private VLAN (protected port). Читаем www.cisco.com
>
>А вот такой вопрос. А если клиент заплатил зе месяц работы (городская
>сеть)  абонплату. И как его через месяц отключить? и какими
>средставми.

пример - билинг считает статистику и после обнуления счета лезет на
клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
клиент отрубается тк мас не его. и все

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от LS emailИскать по авторуВ закладки on 13-Июн-03, 22:19  (MSK)
>клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
>клиент отрубается тк мас не его. и все

ну скока можно? - ИП и МАК НЕ МОГУТ однозначно определить клиента (кроме определенных случаев), поскольку и то и другое меняется в течении нескольких секунд со стороны клиента совершенно свободно.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от trdmitry emailИскать по авторуВ закладки on 14-Июн-03, 09:29  (MSK)
>>клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
>>клиент отрубается тк мас не его. и все
>
>ну скока можно? - ИП и МАК НЕ МОГУТ однозначно определить клиента
>(кроме определенных случаев), поскольку и то и другое меняется в течении
>нескольких секунд со стороны клиента совершенно свободно.


А никто не задумывался что можно сделат IPsec и раздавать
сертификаты только определенным юзерам.

Или например написать небольшой демон,
чтобы висел и каждые 10 секунд "пинговал" сервер пакетами авторизации.
И если сервер не получил этого пакета несколько раз то firewallом
запретить доступ с ip адреса.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Как можно установить защиту от подмены IP адреса"
Сообщение от dmb Искать по авторуВ закладки on 17-Июн-03, 14:30  (MSK)
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?

>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?

Проблема решается либо с помощью VPN либо VLAN. С VPN думаю объяснять не нужно с VLAN делается так:
Каждый клиент подключается к отдельному порту свитча. Каждый порт привязывается к одному VLANу. На одном из портов свитча поднимается VLAN Trunk (ISL или 802.1Q). Этот транк втыкается в порт маршрутизатора на котором нужно сделать примерно следующее

!
access-list 1 permit 192.168.11.5
access-list 2 permit 192.168.12.5

!
interface FastEthernet8/1/0
no ip address
no ip directed-broadcast
no ip route-cache distributed
no ip mroute-cache
!
interface FastEthernet8/1/0.101
encapsulation isl 101
ip address 192.168.11.6 255.255.255.252
ip access-group 1 in
ip access-group 99 out

!
interface FastEthernet8/1/0.201
encapsulation isl 201
ip address 192.168.12.6 255.255.255.252
ip access-group 2 in
ip access-group 99 out

Где .101 и тд. номер VLANа (на указанные в примере цифры не обращайте внимание, делайте как вам удобно).
Таким образом вы не только защититесь от подмены IP адреса и прослушивания пользователями друг друга, но и получите гибкий механизм управления передачей трафика при помощи списков доступа.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру