Защита сети (вопросы)

Сеть предприятия. как
подключить резервный канал
Internet
Канал 1
Требуется сделать
настройки так, чтобы
канал 2 включался только
если канал 1 отключился
Канал 2
Internet
Сеть предприятия. Как
подключить резервный канал
MAC Spoofing
00:00:00:BB:BB:BB
00:00:00:CC:CC:CC
L2 forward table
MAC
dst 00:00:00:BB:BB:BB
src 00:00:00:CC:CC:CC
2
3
1
00:00:00:AA:AA:AA
Port
00:00:00:BB:BB:BB
2
00:00:00:AA:AA:AA
1
00:00:00:CC:CC:CC
1
dst 00:00:00:BB:BB:BB
src 00:00:00:CC:CC:CC
MAC Spoofing защита
Dinamic Host Configuring Protocol (DHCP)
Можно сделать Нелигитимные DHCP сервера
• Защита от DHCP Snooping ?????
DHCP Snooping настройка защиты
Address Resolution Protocol (ARP)
MAC 00:00:00:BB:BB:BB
IP 192.168.0.11
MAC 00:00:00:CC:CC:CC
IP 192.168.0.12
1.
2.
3.
4.
5.
ping 192.168.0.11
MAC ?
MAC 00:00:00:AA:AA:AA
IP 192.168.0.10
Компьютер A формирует broadcast
запрос WHO HAS 192.168.0.11
Принимают все
Отвечает только компьютер B
Теперь комьютер A знает MAC для
192.168.0.11
Ответ кешируется на 300 сек
Можно посылать ответы без запроса!
ARP frame format
Wireshark dump
ARP Spoofing (Poisoning)
MAC 00:00:00:BB:BB:BB
IP 192.168.0.11
MAC 00:00:00:CC:CC:CC
IP 192.168.0.12
Ping 192.168.0.12
Уйдёт на MAC A
Ping 192.168.0.11
Уйдёт на MAC A
Ethernet MAC A -> MAC B
ARP Reply (MAC A, IP 192.168.0.12)
Ethernet MAC A -> MAC C
ARP Reply (MAC A, IP 192.168.0.11)
MAC 00:00:00:AA:AA:AA
IP 192.168.0.10
ARP Spoofing (Poisoning)
Port Security не защитит !
ARP Spoofing (Poisoning) защита
802.1X (dot1x)
Suplicant - устройство которое запрашивает доступ к сети у аутентификатора. На
клиенте должно быть ПО реализующее 802.1X
Audenticator - устройство контролирующее физический доступ к сети. Proxy между
клиентом и сервером аутентификации.
Authentication server - аутентификация клиента. Cообщает аутентификатору
разрешен ли клиенту доступ к сети.
802.1X Indentity Store
802.1X Supplicant
802.1X PC Supplicant
802.1X (dot1x) настройка защиты
от нежелательных клиентов