Tato problematika je zajimava a opravdu je to spise sitarina, nicmene diky virtualizaci hodne provazana s operacnima systemama/hypervisorama.
2012/11/18 Miroslav Lachman <[email protected]> > Dan Lukes wrote: > >> A jak resis (nebo nejdo jiny resi) podobny problem v te lokalni siti do >> ktere mas VirtualBox pripojeny ? Rekneme, kdybys ty mel v umyslu zacit >> pouzivat cizi MAC a IP adresu ve stejne siti ... >> > > Mam od poskytovatele pul C rozsahu a v nem jsou vsechny servery pod moji > spravou (pripadne jaily spravuje nekdo jiny, ale tam si nemuze zmenit IP), > takze na te urovni meho rozsahu to neresim a poskytovatel to patrne resi > nejakym nastavenim na Cisco routeru. > > Takze u sebe bych to mozna dokazal taky nastavit nejakym ACL na switchi > "per port", jestli to vubec umoznuje. > > Dan te chtel nasmerovat presne timto smerem. Problematika je totiz obecna a je jen otazkou jakym zpusobem to resit, jake mas nastroje a ceho chces docilit. Je to take o duvere a zodpovednostech. > Jenze tohle vsechno jsou reseni, ktera na ten pripad s VirtualBoxem (nebo > jinym hypervisorem) nenaroubuju, tam to potrebuju vyresit uvnitr toho > jednoho hostitelskeho serveru. > > S timto tvrzenim nemuzu souhlasit, ale je pravdou, ze ne kazda virtualizacni a sitova platfroma umoznuje stejne moznosti, takze je potreba si rict jake mam moznosti prave v tom mem prostredi. Na toto tema jsem napsal prispevek na mem blogu ( http://davidpasek.blogspot.cz/2012/10/how-to-defend-against-arp.html ), nicmene i kdyz se jedna o obecne tema, tak to tam konkretne rozebiram z pohledu jine virtualizacni platformy. Zpatky k tematu ... pokusim se naznacit ruzne moznosti. Konkretni aplikaci pro virtualbox ve FreeBSD a tvoje sitove prostredi si budes muset najit sam. L2 ethernet segment je "by design" nedostatecne zabezpecen a spoleha se na duveru vsech zarizeni pripojenych do L2 site. V pripade, ze to nelze organizacne nebo smluvne zajistit, tak je potreba se proti tomu branit. Moznost 1 - celkem univerzalni detekce: ============================= Detekovat konflikt IP address = vice IP adres na jednu MAC adresu => nastroj arpwatch v portech. Toto detekuje nejen omylem nebo umyslne spatne nastavenou IP adresu, ale i potencialni utok typu ARP spoofing. Tuto moznost detekce lze rozsirit i o aktivni prevenci, ktera je vsak velmi zavisla na konkretnim prostredi. Moznost 2 - zavisla na moznostech switche: ================================ Na CISCO svitchich tzv. port-security, kde se nastavuje mapovani MAC-IP. Casto se to nastavuje proti DHCP serveru, ktery funguje jako zdroj pravdy o mapovani mezi MAC a IP. Jde to nastavit i staticky. Jedna-li se o softwarovy switch (bridge) v hypervisoru nebo v tomto pripade ve FreeBSD, tak by se to pravdepodobne dalo naimplementovat pomoci ACL pravidel napr. L2 rulema v IPFW. Moznost 3 - zavisla na moznostech site a softwarovem switchi: ============================================= Na routeru nastavit staticke ARP zaznamy (MAC-IP) a pouzit privatni VLANy. Bojim se, ze funkcionalita PVLAN neni ve FreeBSD podporovana. Moznost 4 - zavisla na moznost site a IP adresaci: ===================================== Pouzit VLANy pro kazdy neduveryhodny subjekt/zonu. Kazda VLANa pak ma svoji vlastni IP podsit a routuje se to na routeru. Ve virtualnich prostredich je trend pouzivat i virtualni routery prave pro totalni izolaci jednotlivych vzajemne neduveryhodnych subjektu. Doufam, ze jsem popsal vsechny teoreticky mozna reseni. David. -- David Pasek [email protected], +420 602 525 736 -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
