Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》MAC/IP Spoof Protection 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》MAC/IP Spoof Protection引用回覆 編輯/刪除文章 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶在問,能否在XG上限制只有核准的網卡才可以上網呢?

有的,這部分的功能在 Protect > Intrusion Prevention > DoS & Spoof Protection 裏進行。
在 Spoof Protection General Settings 第一階的 Enable Spoof Prevention 功能裏,可以限制只有能夠解析到路由的IP或已登記的網卡才能放行。



而網卡的註冊登記則在下方Spoof Protection Trusted MAC區塊中進行登記。
(在這階段中,IP只是象徵性的輸入,並沒有網卡與IP需一致的強制性要求。)



這裏的IP Spoofing與MAC Filter是“OR”不是“AND”喔!
只要IP能夠透過routing反解出來,或是網卡在註冊清單之中,就可以放行。
所以若我們要限制只有在Spoof Protection Trusted MAC區塊有中登記的網卡才放行,
那只要勾選MAC Filter即可,IP Spoofing不用勾。


我們如果要限制IP與網卡的配對要與XG上的記錄一致才能放行,也就是“AND”邏輯的話,要如何進行呢?
這就要啟用第二階的 Restrict Unknown IP on Trusted MAC 功能才能辦到。



在這樣的條件限制下,就只有IP/MAC與Spoof Protection Trusted MAC中的配對記錄一致才能放行!


這樣的Spoof Protection能否搭配DHCP機制來運行呢?

例如,我們只限制MAC必需在XG上登記,而IP的配發一樣由XG來隨機發放。
只要是XG上DHCP服務所核發的IP就符合規範,可以通行,省去管理者在IP分配上的負擔。

那麼我們只要在MAC的登記記錄表中,將IP的來源選擇DHCP就可以搭配XG的DHCP來放行。



然後在Spoof Protection General Settings中,啟用Enable Spoof Prevention,並勾選MAC Filter即可,IP Spoofing不用勾;
第二階的 Restrict Unknown IP on Trusted MAC 也不需要啟用勾選。


這樣的Spoof Protection似乎可以防治盜用IP的問題或是常見的ARP攻擊,對嗎?
對,也不對!

IP/MAC綁定機制確實可以限制前端user必需是認可的組合才可以上網,
但一般的ARP攻擊卻是發生在switch端,
雖然盜用IP的電腦確實無法上網,但還是可以在switch上造成假的ARP資訊,干擾了真正使用者的網路行為。
所以能達到ARP防治效果有限...



若遇到區域網路中的ARP攻擊,還是要在switch上著手,套用switch端的solution才能真正解決問題!


PS.
這個DoS & Spoof Protection功能需要Network Protection授權才能使用喔!



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2017-03-20, 16:16 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》XG支援幾組MAC記錄?引用回覆 編輯/刪除文章 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG支援幾組MAC記錄?
這是客戶實際在使用此功能時,所提出的一個好問題!

萬一支援MAC記錄太少,例如只有250組,
那麼在中、大型公司,電腦數量超過250台時,這會是一個很大的問題。


經原廠查詢後,Sophos XG支援了16000 MAC記錄,
不過系統面的ARP快取只支援1700組的記錄。

所以當環境中電腦數量過多,異動量大於1700筆時,
就必需勤於清理ARP快取,以維持此功能的正確性!


參考資料
How many MAC addresses does XG support?



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2017-04-21, 22:00 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》Spoof Protection Trusted MAC支援的匯入格式引用回覆 編輯/刪除文章 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

透過MAC來控管電腦是個好主意,但網卡一多可是會要人命,
還好XG的Spoof Protection Trusted MAC支援了csv檔的匯入,
其樣本格式如下。

MAC Address,IP Association,IP Address
00:A0:C9:14:C8:29,DHCP,
00:C0:D9:19:C6:45,Static,15.12.26.45

其中第一行header row一定要有,且有大小寫的差異,
一定要跟上述樣本一模模一樣樣才會過喔!
(之所以強調這一點是因為XG線上help提供的header row欄位名稱大小寫與實際要求不同,導致匯入失敗!)
而DHCP對應的IP則可以自由決定是否要輸入。


參考資料
Import Trusted MAC Address from CSV File

shunze 上傳的檔案
Sample.zip (0 KB, 已經被下載 1358 次)


♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2017-12-20, 23:03 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR