Re: Comp hacer MAC takeover con heartbeat

To: Javier Miguel Rodríguez <jmiguel@optimat.com>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: Comp hacer MAC takeover con heartbeat
From: Javier Fdz-Sanguino Pen~a <jfs@ieeesb.etsit.upm.es>
Date: Tue, 8 May 2001 17:22:54 +0200
Message-id: <20010508172254.A31170@ieeesb.etsit.upm.es>
In-reply-to: <01050800075000.06626@gufo.ideafix.org>; from jmiguel@optimat.com on Tue, May 08, 2001 at 12:07:50AM -0400
References: <01050800075000.06626@gufo.ideafix.org>

On Tue, May 08, 2001 at 12:07:50AM -0400, Javier Miguel Rodríguez wrote:
> 
> 	Muy buenas...
> 	
> 	Quiero montar un cortafuegos con alta disponibilidad empleando el
> software de Ultramonkey (www.ultramonkey.org, el que usa VA Linux) que
> emplea un sistema de fail-over con heart-beat.
> 
> 	El esquema de red es el siguiente:
> 	
> 	

	No he jugado con ultramonkey, pero de lo que yo conozco:

- la propagación de MACS y la recarga de cachés suele ser un problema en
sistemas de alta disponibilidad, aún más con clientes windows que no
respetan las solicitudes arps y las refrescan cuando les da la gana (aunque
envíes un ARP broadcast cambiando la MAC asociada una IP)

- la solución suele pasar por tener las tarjetas de los sistemas con las
mismas MACs, esto sólo lo puedes hacer si una está activa en cada momento
(es decir, activo-pasivo o "failover" que es lo que quieres) y si puedes
modificar la MAC (en Linux o Solaris no hay problema para hacer esto).

- Lo que pierdes es tener IPs asociadas a los dos sistemas, si quieres hacer
esto tendrías que separar en dos VLANS y dar una IP de cada VLAN a cada
sistema.

	En tu esquema entiendo que tendrías un sistema con una IP y una MAC
y un failover que cambiaría la IP y la MAC en el otro. Tendrías que "quitar"
la tarjeta del otro sistema (ifconfig down) en el failover, para no tener
ningún tipo de problemas.
	Esto haría transparente esto a los sistemas que tuvieran problemas
de refresco. Si no quieres hacer esto (y esto quizás significa modificar el
funcionamiento de ultramonkey) tendrías que hacer un ARP broadcast después
del failover y rezar para que los sistemas refresquen sus tables.

	Puedes buscar herramientas para hacer esto en
packetstorm.securify.com (busca 'arp'), más concretamente parece que te
podrían servir 'arptool' y 'arp-fun'. Creo que dsniff también tiene una
herramienta para hacer esto (http://www.monkey.org/~dugsong/dsniff/)...
aunque está más orientado a ataques en redes conmutadas....


	Un saludo

	Javi

PD: ¿Qué tal una receta cuando termines contando como lo has montado?
Estaría interesado en poner este tipo de información en el documento
Debian-security-HOWOT

Reply to:

References:
- Comp hacer MAC takeover con heartbeat
  - From: Javier Miguel Rodríguez <jmiguel@optimat.com>

Prev by Date: [SOT] Cambio de la lista de La Espiral
Next by Date: problema con Helix Gnome 1.4
Previous by thread: Re: Comp hacer MAC takeover con heartbeat
Next by thread: sendmail en woody
Index(es):
- Date
- Thread