Методы защиты Решение данной проблемы очень простое, но многие при конфигурировании коммутаторов забывают его использовать. Командой SW(config-if)#switchport nonegotiate мы просто отключаем возможность автоматического согласования и делаем атаку нереализуемой.

вашу мать, этому учат на CCNA

не нужно быть CCNA Securityб чтобы знать - порты на акцессе зажимаются в акцесс вручную, никакого динамического согласования не будет

если попытаться на ненастроенном порту сделать switchport nonegotiate - он даст ошибку

(по крайней мере, раньше давал, на свежих иосах не проверял)

nonegotiate дается только на зажатом вручную транковом порту, если мы хотим сразу увидеть ошибку в настройке транка с другой стороны, если там почему-то динамический режим

бессмысленно на акцессном порту

там DTP и так выключается

кажись, кстати, про nonegotiate вообще уже везде написано...

switchport mode access делаешь - DTP выключается

switchport mode access делаешь - DTP выключается

про это и говорил

и кстати, есть такой switchport host, который фактически макрос, которы делает порт в аксесс, отключает port channel, и делает портфаст разом

не нужно быть CCNA Securityб чтобы знать - порты на акцессе зажимаются в акцесс вручную, никакого динамического согласования не будет

ну вот вопрос в том, почему киска такое выкладывает тогда

хотя мне все еще кажется что там что-то другое

т.е. на всех портах, смотрящих в юзеров, делаем switchport host и все. мне кажется, мы про это писали в сдсм.. ну и dhcp snooping всегда-всегда делайте. ко мне недавно обратились с трудноуловимыми сетевыми багами- рандомно в разные дни отваливались разные хосты. после телефонных переговоров в стиле "нажмите пуск, потом там слева будет..." стало понятно, что эти хосты просто получают не те айпишники. Ну теперь давайте, угадывайте, сетевики, в чем проблема была))

так все же, мне непонятно как срезается верхний тег. циска пишет, что: If an access port receives a tagged packet (Inter-Switch Link [ISL] or IEEE 802.1Q tagged), the packet is dropped, and the source address is not learned.

а на картинке двойной тег прилетает в access

и кстати, есть такой switchport host, который фактически макрос, которы делает порт в аксесс, отключает port channel, и делает портфаст разом

надо попробовать

а, и еще- не забывайте, что СДЕЛАЛИ снупинг и где-то это записать так, чтобы тот, кто после вас, увидел это)) потому что была история обратная- никто не получает айпишник, сервер с dhcp пингуется вполне (ну, ясен пень, если вручную назначить правильный адрес)

так все же, мне непонятно как срезается верхний тег. циска пишет, что: If an access port receives a tagged packet (Inter-Switch Link [ISL] or IEEE 802.1Q tagged), the packet is dropped, and the source address is not learned.

+

бля, как-то криво написал)) имел в виду, что если сделали, то надо записать

так все же, мне непонятно как срезается верхний тег. циска пишет, что: If an access port receives a tagged packet (Inter-Switch Link [ISL] or IEEE 802.1Q tagged), the packet is dropped, and the source address is not learned.

если верхний тег = sw access vlan

или sw trunk native vlan

шта?

и правда, чет не то)

так, тег снимается только на egress, при приеме на access порт ничего тегированного не снимается

правильно дропается

Ну блин, по native без тега ходит

только если порт в транке

и что?

А в access прилетает с тегом

оно на egress без тега

ДА

А как так выходит?

в access на ingress дропается

вот теперь и я картинку не понимаю)

пойду 3е пиво открою

щас.. позовем @insoln )) он наверно вкурсе как это работает

блин, как тупо

Double Tagging can be mitigated by either one of the following actions (Incl. IOS example): Simply do not put any hosts on VLAN 1 (The default VLAN). i.e., assign an access VLAN other than VLAN 1 to every access port Switch(config-if)# switchport access vlan 2

это короче если native vlan 1

почему на входе он не дропнется, шапка 802,1q у него же есть

поправил

чтобы было что заскринивать, поясню: 1. port security - не та технология, которой нужно защищаться от атаки на dhcp starvation. Большинство серверов выделяют адрес не по мак-адресу запрашивающего, а по transaction id, его на лету можно менять сколько угодно раз 2. правильно защищаться от этой атаки на цисках и спользованием dhcp snooping

DHCP Snooping + port security можно пробить атакой через отправку DHCP_DECLINE, при использовании M$ DHCP Server атаку предотвратить нельзя. http://blog-stack.net/bad_address-flood-in-windows-dhcp-server/

видимо влан 1 катируется, как нетегированный

можно еще заставить тегировать native vlan, тогда тоже атака не пройдет

можно еще заставить тегировать native vlan, тогда тоже атака не пройдет

если native vlan не != 1

следуя этой логике

по-моему, даже первый будет тегировать, если сказать

возможно, фокус в том, чтобы внешний тэг был равен native. и не важно 1 это или 999

мне кажется это всё от иоса зависит

баг скорее всего уж очень древний

https://learningnetwork.cisco.com/thread/48486

Ещё конкретнее: "If an access port receives a tagged packet (Inter-Switch Link [ISL] or 802.1Q tagged) for the VLAN assigned to the port, the packet is forwarded. If the port receives a tagged packet for another VLAN, the packet is dropped"

Поскольку читать целиком вам очевидно лень.

Да, баг не на всех моделях.

Возможно в ios 15 уже не так.

Надо стенд собирать.

а, ну тогда всё просто

Но на 12 так.

я всегда думал, что любой dot1q дропается

И честно сказать это не самое плохое что есть в ios 12 = )

в смысле это мб и не баг, мб фича)

я всегда думал, что любой dot1q дропается

ага, до сих пор так думаю :)

тогда я с самого начала правильно написал

ERROR: S client not available

если верхний тег = sw access vlan

или sw trunk native vlan

в смысле это мб и не баг, мб фича)

ну тогда если первый заголовок будет равен нативвлан тогда сработает получается?

да, но например, тегируясь на своей сетевой при пинге ответ не получите, т.к. назад то прилетит без тэга

но на той станции которую пингуете в вайршарке увидете

Да ну

ну да

хотя мне все еще кажется что там что-то другое

там про то, что 95% населения - идиоты, которые не зажимают акцесс на интерфейсе, поэтому с настроенными ими свитчами можно согласовать транк

Это все равно какая-то очень извращенная атака.

так все же, мне непонятно как срезается верхний тег. циска пишет, что: If an access port receives a tagged packet (Inter-Switch Link [ISL] or IEEE 802.1Q tagged), the packet is dropped, and the source address is not learned.

это другая атака, double tagging

я думал дабл тэггинг и обсуждается)

одно дело vlan hopping - ты ожидал юзера видеть только в 17 влане, а он чудом оказался в 34

там про то, что 95% населения - идиоты, которые не зажимают акцесс на интерфейсе, поэтому с настроенными ими свитчами можно согласовать транк

я все еще не понимаю, как можно работать с вланом без тега не заажав аксесс (если не нейтив влан, который не рекомендуют)

не, мы про дабл тэг как раз

@insoln На своей волне

а другое double tagging, это не vlan hopping

когда ставятся две метки

не, мы про дабл тэг как раз

там написано влан хоппинг же

так, вот влан хоппинг достигается при помощи дабл теггинга

нет?

А double tagging это не способ ли реализации vlan hopping?

ааа.. слишком сложнаааа

ну влан хоппинг - самостоятельное имя для известной атаки на DTP

юзер получит полный доступ к влану

А здесь только в одном направлении.

а double tagging - самостоятельное имя на известную атаку, когда пользователь при удачном для него раскладе получит возможность посылать кадры в чужой влан

но не обратно, да

Вообще я согласен с @insoln

Наверное на хабре зря это в одну атаку впихнули.

ясно, с аксессом никакого хоппинга короче

и чтобы дабл таггинг сработал, надо одновременно быть мудаком, использовать глючное железо, и использовать native vlan на транках