ezz

Hej alle

Vi har fundet en smart måde at telnette til klienter på og via dette starte
"Dhcp locator".
Det er et fremragende værktøj til at konstatere hvorvidt Dhcp ændringer slår
igennem (nye ip helpere osv).
Jeg har dog konstateret at hvis man kører dhcploc fra en klient der er
koblet på en switch med dhcp snooping enablet, så kommer der ikke noget
svar - det gør der når man slår dhcp snooping fra...
Det forstår jeg ikke? Dhcp snooping skal da bare forhindre, at der tilbydes
ip adresser fra porte der ikke er trustede ? Den skal da ikke blokere en
"discover" (som er det jeg formoder dhcploc sender blot fra en bogus mac
adresse) ?
Ved i hvorfor snooping blokerer for dhcploc discovers?

/Jan V

Den 29-04-2011 19:54, Vejling skrev:
> Det forstår jeg ikke? Dhcp snooping skal da bare forhindre, at der
> tilbydes ip adresser fra porte der ikke er trustede ? Den skal da ikke
> blokere en "discover" (som er det jeg formoder dhcploc sender blot fra
> en bogus mac adresse) ?
> Ved i hvorfor snooping blokerer for dhcploc discovers?

Hvis jeg ikke husker helt galt, kan ciscos switche sættes op til at
bruge DHCP informationer til at lave nogle ekstra sikkerhedstricks.
Blandt andet at man ikke kan sende data fra IP'er man ikke har modtaget
via DHCP, at man ikke sender fra flere forskellige MAC adresser, og
lignende.

Måske det er det du oplever? At switchen blokere trafikken fordi den
sender DHCP requests fra en ikke i orden MAC, eller blot at den sender
for mange i forhold til den rate limit switchen er sat op til?

Dog burde du vist helt miste netværks forbindelsen på den maskine der
forsøger at sende pakkerne.

- Chano Andersen

Hej

Tak for svar :)
Ja Dhcp snooping er netop den funktionalitet at man kun kan modtage
Dhcp-leases fra trustede porte.
Og dynamic arp inspection kan benytte Snooping databasen til at sikre at IP
og Mac passer sammen, men kan ikke gennemskue om snooping gør at jeg ikke
engang kan sende en discover fra en almindelig untrusted port...

/Jan

"Chano Andersen" skrev i meddelelsen
news:6298

Den 29-04-2011 19:54, Vejling skrev:
> Det forstår jeg ikke? Dhcp snooping skal da bare forhindre, at der
> tilbydes ip adresser fra porte der ikke er trustede ? Den skal da ikke
> blokere en "discover" (som er det jeg formoder dhcploc sender blot fra
> en bogus mac adresse) ?
> Ved i hvorfor snooping blokerer for dhcploc discovers?

Hvis jeg ikke husker helt galt, kan ciscos switche sættes op til at
bruge DHCP informationer til at lave nogle ekstra sikkerhedstricks.
Blandt andet at man ikke kan sende data fra IP'er man ikke har modtaget
via DHCP, at man ikke sender fra flere forskellige MAC adresser, og
lignende.

Måske det er det du oplever? At switchen blokere trafikken fordi den
sender DHCP requests fra en ikke i orden MAC, eller blot at den sender
for mange i forhold til den rate limit switchen er sat op til?

Dog burde du vist helt miste netværks forbindelsen på den maskine der
forsøger at sende pakkerne.

- Chano Andersen

Den 09-05-2011 17:41, Vejling skrev:
> Hej
>
> Tak for svar :)
> Ja Dhcp snooping er netop den funktionalitet at man kun kan modtage
> Dhcp-leases fra trustede porte.
> Og dynamic arp inspection kan benytte Snooping databasen til at sikre at
> IP og Mac passer sammen, men kan ikke gennemskue om snooping gør at jeg
> ikke engang kan sende en discover fra en almindelig untrusted port...

Port security, der kun tillader en IP/MAC per port?

- Chano Andersen

Den 09-05-2011 20:56, Chano Andersen skrev:
> Den 09-05-2011 17:41, Vejling skrev:
>> Hej
>>
>> Tak for svar :)
>> Ja Dhcp snooping er netop den funktionalitet at man kun kan modtage
>> Dhcp-leases fra trustede porte.
>> Og dynamic arp inspection kan benytte Snooping databasen til at sikre at
>> IP og Mac passer sammen, men kan ikke gennemskue om snooping gør at jeg
>> ikke engang kan sende en discover fra en almindelig untrusted port...
>
> Port security, der kun tillader en IP/MAC per port?

Alternativt en eller anden beskyttelse mod at flodde DHCP serveren med
discovers, og dermed stjæle alle IP'erne.

- Chano Andersen