forum.lissyara.su

Добрый день!
На сколько это безопасно?
Есть сервант с одним re0 (1Gb) интерфейсом и ставить ещё интерфейсы нет не возможности не желания! А нужно к нему подключить с одного провайдера 2 по 100 и в 3 локалки раздать инет.
На помощь пришла чудо железяка ZyXEL es-2108-g, настроив vlan всё чудно и как надо, тут вопросов нет. Но новая не задача когда подключили второй линк к провайдеру, поняли что напоролись на грабли, а именно – пров. раз даёт ip по dhcp и естественно два одинаковых мака рядом тем более быть не могут vlan101 и vlan102 получили от родителя re0 общи мак.
Попробовал решить проблему ifconfig vlan102 ether xx:xx:xx:xx:xx:xx но тогда трафик перестал ходить ччерез этот vlan. Ладно в чём дело читаем man ifconfig. И находим чудо опцию ifconfig re0 promisc, и всё заработало как хотелось!
Теперь новая проблема – насколько это безопасно, меня тревожит это:

Помещает интерфейс в состояние promiscuous. В широковещательной сети это заставляет интерфейс получать все пакеты независимо от того, были ли они предназначены для этой машины или нет. Это позволяет, используя фильтры пакетов, анализировать сетевой трафик. Обычно, это хорошая техника охоты на сетевые проблемы, которые иначе трудно отловить. Здесь весьма полезна утилита tcpdump. С другой стороны, это позволяет хакерам исследовать движение паролей по сети и делать другие черные дела. Одна защита против этого типа нападения: не позволять присоединяться к сети чужим компьютерам. Другой способ: использовать безопасные опознавательные протоколы, типа Kerberos, или SRA login. Эта опция соответствует флагу PROMISC.

Меня заботит концепция безопасности, не создал ли я супер огромную дырку в безопасности?

Отпишитесь пожалуйста, кто реально понимает суть проблемы.
Спасибо за по траченое время!

День добрый.

Честно говоря не вижу большой проблемы. Не смог придумать сценария, по которому вас можно было бы атаковать.
Давайте подумаем вместе. Вся разница в том, что теперь ваша сетевуха принимает все пакеты, которые увидела, т.е. не фильтрует по MAC адресу.
Первое что видно - при повышенной активности в сети машинка может тормозить как от DOS-атаки (сетевуха не отбрасывает лишние пакеты, а передает их выше по стеку, где их приходится обрабатывать).
Дальше хотел написать, что атаковать вас могут только из того же сегмента, но понял что в данном случае это все сети.

ps есть смысл посмотреть сниффером, какие пакеты на какие интерфейсы попадают, что бы понять откуда ждать атаки. честно говоря не понятно, почему не работает без promisc, может провайдер привязался к MAC адресу?

Pegasus писал(а):День добрый.
Давайте подумаем вместе. Вся разница в том, что теперь ваша сетевуха принимает все пакеты, которые увидела, т.е. не фильтрует по MAC адресу.

Теперь (как и раньше) это делает коммутатор. Конечно нельзя исключить переполнение его таблицы.

Ну вы меня успокоили. Честно говоря я исследовал этот вопрос и тоже не нашёл серьёзной возможности для атаки. Бридж от провайдера идентичный моему Зюкселю на 8000 записей таблица и уже не помню, достаточно высокой пропускной способностью стека. Каждый линк зарезан со стороны провайдера в vlan следовательно абоненты не видят друг – друга. Лично перепроверил. Для подстраховки думаю, точнее мне казалось что Зюксиль может на порту ограничить трафик от мака к маку, надо ман почитать. Ну а так продосить могут только из сегмента?
Дело не в провайдере по поводу флага PROMISC, это же vlan он много получает от родителя на низком уровне. Я в локал себе пробовал vlan-ну поменять мак, тоже не чего не вышло пока флаг не включил.
Всем большое спасибо за внимание.