[GTER] switch inteligente e "esperta"

[Rubens Kuhl Jr.]

Não me parece que algum switch já vá ter o nível de controle que você
necessita... os controles tipo storm-control são mais focados para conter
broadcasts, não scanning de alta velocidade(muitos pacotes unicast por
segundo) como faz um vírus típico de hoje.

Veja se o 3300XM não suporta uma lista de bloqueio de MACs... se suportar,
instale um IDS como o Snort, e habilite uma regra de FlexResponse para
exploit de vulnerabilidades que loga no switch e filtra aquele MAC.

Outra opção é ficar fazendo SNMP-walk das interfaces, e se uma porta passar
de um certo thereshold de pacotes por segundo, você loga e coloca aquela
porta em down.

Detalhe: estamos falando de Wired Ethernet ou de Wi-Fi ?


Rubens

----- Original Message ----- 
From: "Juliano Souza" <juliano.souza at interair.com.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Tuesday, July 20, 2004 3:11 PM
Subject: [GTER] switch inteligente e "esperta"


Olá amigos!!!

O caso é o seguinte;

Trabalho em um provedor de acesso e todos os clientes(uma grande, enorme
nuvem LAN, coisa de 3000 máquinas) passam por minhas switches 3com 3300XM,
que considero muito boa, mas ultimamente com a demanda de vírus que pacotam
a LAN, recebo diariamente, e ultimamente, um flood muito alto de pacotes.
Que só consigo vê-los utilizando o tcpdump e o bom e velho olhômetro,
bloqueando-os em seguida.

A minha dúvida é:

-- Será que existe alguma switch (foundry, cyclades, etc) que haja da
seguinte maneira, qdo ocorrer um flood na porta específicada, ela trave a
porta e não comprometa toda a switch? Já vi uma que cada porta tem um ip, aí
fica mais fácil de monitorar, certo?, mas será que consigo algo do gênero?


Fico no aguardo, e se souberem onde posso adquirir aqui em SP, agradeço!

Atenciosamente,

Juliano Souza
js at interair.com.br
--
GTER list    https://eng.registro.br/mailman/listinfo/gter