Subnets.ru

Приве всем.
Вопрос из сабжа. Есть сеть, есть сервер доступа (pptp - mpd5). Там клиент идентифицируется по логину, паролю и Ip, получает внешний ip и получает доступ к Интернет. Это все логично и понятно. Вопрос. Если убрать из сети сервер доступа с его pptp, сделать доступ к сети средствами шлюза. Как в этом случае идентифицировать клиента?

dhcp+option82 и проверять с какого порта пришел запрос? В этом случае сильно важен человеческий фактор.
cisco + tacacs отпадает, т.к. не везде есть cisco и не везде есть tacacs.

Извиняюсь за глупый вопрос.

порт + mac + ip

root писал(а):порт + mac + ip

Соответствие порта + mac - это понятно. Проблема только в том, что клиент может:
1. подменить железо (У нас был ноутбук, а теперь поставили ролтор и ничего не работает, сколькоможно а!)
2. Ip клиента. По сути его должна будет назначить служба dhcp с опцией 82, если исходить из 1-го пункта.
3. как, скажем, сервер доступа должен понимать, что это именно тот, кто пытается выйти в сеть именно тот, кем он является? Сервер, вроде бы не понимает с какого порта произошло подключение?

4. Как-то реально сделать доступ в сеть только таким образом, что какой бы я ip себе не прописывал, доступ в сеть был бы возможен только на условии получения ip от dhcp сервера? Пример: прописал я себе 10.121.11.17/24, шлюз 10.121.11.254 и не получил доступа к сети, а получил точно такой же адрес от dhcp - доступ предоставлен.

Андрей писал(а):Сервер, вроде бы не понимает с какого порта произошло подключение?

Согласно RFC 3046 сервер, при дОлжной настройке, может прекрасно понимать, т.к. опция 82 включает инфу о порту, с которого пришел DHCP-запрос:

3.0 Relay Agent Information Sub-options

3.1 Agent Circuit ID Sub-option

This sub-option MAY be added by DHCP relay agents which terminate
switched or permanent circuits. It encodes an agent-local identifier
of the circuit from which a DHCP client-to-server packet was
received.

Даже тема такая есть dhcp option82, которую он же и поднимал.

Привет всем.
Не стал создавать новую тему.
Настроил коммутаторы, чтобы они отдавали информацию по option82. Теперь у меня проблема вот какого характера - сервер dhcp не понимает что ему приходит, ну или не хочет понимать.
В tcpdump падает вот что:

Код: Выделить всё

# tcpdump -s0 -vvvni vr0 host 10.10.254.127 and port 67
tcpdump: listening on vr0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:36:03.956400 IP (tos 0x0, ttl 255, id 348, offset 0, flags [none], proto UDP (17), length 347)
    10.140.1.1.67 > 10.10.254.127.67: [udp sum ok] BOOTP/DHCP, Request from 00:23:81:1b:eb:bf, length 319, hops 1, xid 0xc5f545ed, secs 7424, Flags [Broadcast] (0x8000)
          Gateway-IP 10.140.1.1
          Client-Ethernet-Address 00:23:81:1b:eb:bf
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Discover
            Client-ID Option 61, length 7: ether 00:23:81:1b:eb:bf
            Hostname Option 12, length 3: "DNS"
            Vendor-Class Option 60, length 8: "MSFT 5.0"
            Parameter-Request Option 55, length 13:
              Subnet-Mask, Domain-Name, Default-Gateway, Domain-Name-Server
              Netbios-Name-Server, Netbios-Node, Netbios-Scope, Router-Discovery
              Static-Route, Classless-Static-Route, Classless-Static-Route-Microsoft, Option 252
              Vendor-Option
            Agent-Information Option 82, length 18:
              Circuit-ID SubOption 1, length 6: ^@^D^C^B^@^@
              Remote-ID SubOption 2, length 8: ^@^F^@^QM-^SM-oM-$M-@


В конфиге сервера для сети 10.140.1.0/24 прописано это:

Код: Выделить всё

 subnet 10.140.1.0 netmask 255.255.255.0 {

    if exists agent.remote-id {
            log ( info, option agent.remote-id);
    }
    if exists agent.circuit-id {
            log ( info, option agent.circuit-id);
    }

В итоге, в лог ничего не падает, разве что отсутствие свободных адресов для мак-адреса клиента.
Что я не так делаю?

Завел.
Добавил хост клиента, чтобы в логи сыпалось.

root писал(а):viewtopic.php?p=5112#p5112
viewtopic.php?p=3226#p3226

Благодарю за ссылки.

Теперь проблема несколько иного характера. Как защититься от подмены ip адреса? Нагуглил

Код: Выделить всё

ip source guard + dhcp snooping


Проблема в том, что коммутатор не понимает ip source guard.
Как-то еще реально?

Спасибо.

Понятное дело что коммутатор не понимает, т.к. это должен быть маршрутизатор, который имеет дело с IP и ARP соответственно.
Если в кач-ве маршрутизатора НЕ cisco, то тут, первое что приходит на ум, это костылить самому. Как ? Копать в сторону двух вещей:

- snmp trap mac-notification
- получение данных о show ip dhcp snooping binding с коммутаторов