8
"ARP-Spoofing Prevention" auf D-Link DGS-1210 - Korrekte Konfiguration
Hallo,
ich stehe mal wieder vor einem Problem, bei dessen Lösung ich mich ein wenig schwer tue. Ferner habe ich bisher auch nichts dazu im Internet gefunden, was mich gedanklich voran bringt.
Ich setze als Switch den "D-Link DGS-1210-24" ein. Bei dem kann man unter anderem das Feature "ARP-Spoofing Prevention" aktivieren. Falls es von Interesse ist, hier von D-Link die Anleitung dazu:
D-Link DGS-1210 - ARP-Spoofing Prevention
In dem Fall geht es darum dem D-Link zu verstehen zu geben, welches sein sein einziges und wahres Gateway ist.
Nun zu meinem Problem - vielleicht ist da auch wieder eine Delle in einer meiner Gehirnwindungen, die für eine kleine Unwucht sorgt:
Ich habe alle Ports auf dem Switch jeweils in VLANs gesteckt, so dass alle Systeme je nach Einsatzbereich voneinander getrennt sind. All diese VLANs übertrage ich mittels eines "getaggten" Ports an meinen dahinter liegenden Router. Auf diesem habe ich wiederum für jedes VLAN ein eigenes Interface, mit dem zugehörigen eigenen Netz und somit einer jeweils passenden Gateway-Adresse:
Switch:
VLAN 10 (mit allen zugehörigen Ports für Systeme)
VLAN 20 (mit allen zugehörigen Ports für Systeme)
VLAN 30 (mit allen zugehörigen Ports für Systeme)
Port getagged für "VLAN 10", "VLAN 20" und "VLAN 30" zwecks Transport aller VLANs zum Router
Router:
Interface "VLAN 10" mit Adresse "192.168.a.a" und somit ist das Gateway für dieses VLAN die Adresse "192.168.a.a".
Interface "VLAN 20" mit Adresse "192.168.b.b" auf dem Router und somit Gateway "192.168.b.b" für die angeschlossenen Systeme am Switch.
Interface "VLAN 30" mit Adresse "192.168.c.c" auf dem Router und somit Gateway "192.168.c.c" für die angeschlossenen Systeme am Switch.
Nun tue ich mich ein wenig schwer mit der Definition des Gateways für den Switch. Weil ich alles in VLANs gesteckt habe, habe ich für mein Verständnis nicht das Gateway für den Switch, sondern nur Gateways für die jeweiligen VLANs. Insofern klemmt es gerade mit der Transferleitung hinsichtlich das was D-Link mit der "ARP-Spoofing Prevention" verbindet.
Könnt Ihr mir weiterhelfen, was in meinem Fall die korrekte Konfiguration für dieses Feature wäre? Oder habe ich nur ein kleines Verständnisproblem, das es gilt aus dem Weg zu räumen?
Ich bin für jedes Feedback dankbar!
Gruß,
Jens
ich stehe mal wieder vor einem Problem, bei dessen Lösung ich mich ein wenig schwer tue. Ferner habe ich bisher auch nichts dazu im Internet gefunden, was mich gedanklich voran bringt.
Ich setze als Switch den "D-Link DGS-1210-24" ein. Bei dem kann man unter anderem das Feature "ARP-Spoofing Prevention" aktivieren. Falls es von Interesse ist, hier von D-Link die Anleitung dazu:
D-Link DGS-1210 - ARP-Spoofing Prevention
In dem Fall geht es darum dem D-Link zu verstehen zu geben, welches sein sein einziges und wahres Gateway ist.
Nun zu meinem Problem - vielleicht ist da auch wieder eine Delle in einer meiner Gehirnwindungen, die für eine kleine Unwucht sorgt:
Ich habe alle Ports auf dem Switch jeweils in VLANs gesteckt, so dass alle Systeme je nach Einsatzbereich voneinander getrennt sind. All diese VLANs übertrage ich mittels eines "getaggten" Ports an meinen dahinter liegenden Router. Auf diesem habe ich wiederum für jedes VLAN ein eigenes Interface, mit dem zugehörigen eigenen Netz und somit einer jeweils passenden Gateway-Adresse:
Switch:
VLAN 10 (mit allen zugehörigen Ports für Systeme)
VLAN 20 (mit allen zugehörigen Ports für Systeme)
VLAN 30 (mit allen zugehörigen Ports für Systeme)
Port getagged für "VLAN 10", "VLAN 20" und "VLAN 30" zwecks Transport aller VLANs zum Router
Router:
Interface "VLAN 10" mit Adresse "192.168.a.a" und somit ist das Gateway für dieses VLAN die Adresse "192.168.a.a".
Interface "VLAN 20" mit Adresse "192.168.b.b" auf dem Router und somit Gateway "192.168.b.b" für die angeschlossenen Systeme am Switch.
Interface "VLAN 30" mit Adresse "192.168.c.c" auf dem Router und somit Gateway "192.168.c.c" für die angeschlossenen Systeme am Switch.
Nun tue ich mich ein wenig schwer mit der Definition des Gateways für den Switch. Weil ich alles in VLANs gesteckt habe, habe ich für mein Verständnis nicht das Gateway für den Switch, sondern nur Gateways für die jeweiligen VLANs. Insofern klemmt es gerade mit der Transferleitung hinsichtlich das was D-Link mit der "ARP-Spoofing Prevention" verbindet.
Könnt Ihr mir weiterhelfen, was in meinem Fall die korrekte Konfiguration für dieses Feature wäre? Oder habe ich nur ein kleines Verständnisproblem, das es gilt aus dem Weg zu räumen?
Ich bin für jedes Feedback dankbar!
Gruß,
Jens
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 354627
Url: https://administrator.de/contentid/354627
Printed on: April 23, 2024 at 14:04 o'clock
8 Comments
Latest comment
Die Frage ist ob deine Gateways alle mit der selben MAC kommen.
Zitat von @127103:
Die Frage ist ob deine Gateways alle mit der selben MAC kommen.
Die Frage ist ob deine Gateways alle mit der selben MAC kommen.
Eine sehr gute Frage ... ich werde das gleich prüfen, wenn ich am Gerät sitze. Ich danke Dir schon mal für den Denkanstoß
Zitat von @127103:
Die Frage ist ob deine Gateways alle mit der selben MAC kommen.
Die Frage ist ob deine Gateways alle mit der selben MAC kommen.
Du hast recht, sie kommen alle mit derselben MAC-Adresse, aber unterschiedlicher IP-Adresse.
Ich habe jetzt einfach mal stumpf alle möglichen Gateways der VLANs mit jeweils derselben MAC-Adresse aufgenommen und es scheint zu klappen. Zumindest war die übliche Kommunikation für die alltäglichen Tätigkeiten kein Problem.
So wie es aussieht, habe ich mir dieses Mal etwas zu viele Gedanken um die Nummer gemacht. Nachdem der Switch hinsichtlich IP Interfaces und passender Routen in der jeweiligen Anzahl etwas arg limitiert ist, hatte ich nicht erwartet dort so viel hinterlegen zu können.
Oder war das doch nicht so eine gute Idee?
Gruß,
Jens
So wie es aussieht, habe ich mir dieses Mal etwas zu viele Gedanken um die Nummer gemacht. Nachdem der Switch hinsichtlich IP Interfaces und passender Routen in der jeweiligen Anzahl etwas arg limitiert ist, hatte ich nicht erwartet dort so viel hinterlegen zu können.
Oder war das doch nicht so eine gute Idee?
Gruß,
Jens
Hi.
Was macht APR-Spoofing? Ich komme mit der geklauten MAC und mit einer ANDEREN IP-Adresse. Mehr wird das Switch gar nicht verhindern. Das Switch kann 64 Einträge und du kannst auch nur ein Gateway pro Port zulassen(da wo die einzelnen VLANS hängen). Für die gebündelte Faser, alle drei Gateways an dem Port eintragen.
Ist die Frage, wie oft sich nun Angreifer an dein Netzwerk stöpseln können? Da wären sicherlich noch andere Sicherheitsmaßnahmen möglich.
Gruß
c
Was macht APR-Spoofing? Ich komme mit der geklauten MAC und mit einer ANDEREN IP-Adresse. Mehr wird das Switch gar nicht verhindern. Das Switch kann 64 Einträge und du kannst auch nur ein Gateway pro Port zulassen(da wo die einzelnen VLANS hängen). Für die gebündelte Faser, alle drei Gateways an dem Port eintragen.
Ist die Frage, wie oft sich nun Angreifer an dein Netzwerk stöpseln können? Da wären sicherlich noch andere Sicherheitsmaßnahmen möglich.
Gruß
c
Zitat von @127103:
Ist die Frage, wie oft sich nun Angreifer an dein Netzwerk stöpseln können? Da wären sicherlich noch andere Sicherheitsmaßnahmen möglich.
Ist die Frage, wie oft sich nun Angreifer an dein Netzwerk stöpseln können? Da wären sicherlich noch andere Sicherheitsmaßnahmen möglich.
Ja das sehe ich auch so. Ich bin was das angeht gerade noch am Anfang und versuche mich so langsam Stück für Stück damit auseinanderzusetzen und zu verstehen, was ich dort tue.
Welche Sicherheitsmaßnahmen würden Dir noch einfallen?
Viele. Aber ich kenn das Netz nicht.
Gruß c
Gruß c
Zitat von @127103:
Viele. Aber ich kenn das Netz nicht.
Viele. Aber ich kenn das Netz nicht.
Moin,
tut mir leid, dass ich erst heute dazu komme qualifiziert auf Deine letzten Eintrag zu reagieren.
Ich habe mal meinen Netzwerkaufbau grob skizziert, in der Hoffnung dass man daraus so einigermaßen ersehen kann, was ich da treibe:
Hier noch ein paar Erläuterungen dazu. Der obige Router ist noch das Gerät meines Providers, welches im Moment nur noch die Verbindung zum Internet herstellt. danach kommt ein Mikrotik, der neben dem Switch mittlerweile die Hautaufgaben wahrnimmt. Er ist mit einem Trunk/tagged Port an den Switch angebunden. Alle Geräte hängen entweder direkt oder mittels Netzwerkdosen an dem Switch. Dort habe ich alle geräte je nach Gattung/Verwendung in einzelne VLANs gesteckt. Diese sind dann über den erwähnten Trunk- tagged Port mit dem Mikrotik verbunden. Die 3 linken VLANs machen über den Switch "VLAN Routing". Die bauen VLANs sollen immer über den Router gehen und dann erst wieder in eines der VLANs zurück. Sinn ist dass die immer erst über die Firewall gehen, bevor sie in ein anderen Netz abbiegen.
Das rote Netz ist für den Zugang aller mobilen Geräte gedacht und ist über einen AP von Mikrotik direkt am Router angebunden.
Ich hoffe das war insoweit verständlich formuliert. Neben der oben erwähnten Funktionalität hinsichtlich ARP-Spoofing bin ich gerade dabei am Switch allen Geräten ACLs zu verpassen. Danach soll es nach und nach weiter gehen hinsichtlich Sicherheit und anderer sinnvoller Einstellungen.
Ich versuche mich über dieses Projekt so ein bisschen in all die Themen einzuarbeiten, weil ich ansonsten nicht viel Erfahrung mit Netzwerken habe. Deswegen versuche ich mich gerne auch mal an der einen oder anderen Einstellung, die in meinem Spezialfall nicht unbedingt die sinnvollste sein mag. Immerhin kann ich daran lernen.
Wenn Du diesen Aufbau siehst, hast Du dann noch weiterführende Ideen was man hinsichtlich Sicherheit noch angehen könnte?
Gruß,
Jens
