Поиск по этому блогу

08.02.2010

Понаберут параноиков на работу...

На коммутаторах 3750 можно реализовать комплексную систему безопасности локальной сети, которая будет включать в себя защиту от "левых" dhcp-серверов, контроль arp-пакетов, привязку mac-ip.
Зачем?
Затем.
Начинается все с настройки порта-аплинка. Это будет доверенный порт по всех отношениях. При настройке целого диапазона портов не стоит забывать об этом:
interface FastEthernet1/0/1
description ***** Uplink
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust



Необходимо помнить, что Dynamic ARP Inspection (DAI) и IP Source Guard используют в своей работе базу snooping database. Если данных там нет, то вся передача данных будет заблокирована.
Исходя из этого надо помнить три вещи:
1. Сохранять базу.
2. При отключении dhcp snooping выключать ARP Inspection и IP Source Guard на портах, так как база удаляется.
3. Включать ARP Inspection и IP Source Guard только после заполнения базы. Как правило, это чуть больше срока аренды dhcp. Особое внимание уделить зарезервированным ip-адресам в dhcp-пуле. Если работы проводятся на новом оборудовании, куда вообще никто не подключен, то включить, понятно, можно сразу все.

Включаем snooping для пользователей, которым в 202 и 203 vlan'е динамически раздаются адреса. 203 - голосовой для телефонов.
ip dhcp snooping vlan 202-203
no ip dhcp snooping information option
ip dhcp snooping database flash:/snoop
ip dhcp snooping

Последняя команда как раз включает/выключает. Помним про п.2-3. Я раз вместо
switch(config-if)#no ip dhcp snooping trust

бахнул
switch(config-if)#no ip dhcp snooping

Угадайте, что произошло...

Пара слов про information option. Если ваш сервер не поддерживает option 82, то ее следует отключить. В противном случае IP Source Guard не будет корректно работать. DCHP-сервер контроллера домена ее не поддерживает.

На пользовательских портах никакие изменения не нужны. Snooping будет работать на всех портах, где vlan'ы попадают в указанный ему список. За исключением trust портов.

После накопления базы
включаются остальные функции:
ip arp inspection vlan 202-203
ip arp inspection validate src-mac dst-mac ip

Для включения IP Source Guard необходимо внести изменения в настройки пользовательских портов.
switch(config-if)#ip verify source port-security


В такой конфигурации, когда фильтруется ip-адрес и mac-адрес, нельзя включать на портах port-security, так как option 82 не используется. Цитата с документации:
Note When you enable both IP Source Guard and Port Security by using the ip verify source port-security interface configuration command, there are two caveats:

•The DHCP server must support option 82, or the client is not assigned an IP address.

•The MAC address in the DHCP packet is not learned as a secure address. The MAC address of the DHCP client is learned as a secure address only when the switch receives non-DHCP data traffic.



Про частности можно почитать тут

Картинки, вдохновившие и заполнившие необходимые пробелы, смотрел в докладе Евгении Линьковой "Безопасность в коммутируемых сетях".