[Collector]

В нашей локалке 2 подсети:

- первый это пограничный сеть: 192.168.0.0/24 (шлюз 192.168.0.1)

- второй это локальный сеть: 192.168.1.0/24 (шлюз 192.168.1.1)

VPN сервер стоит на втором шлюзе (192.168.1.1)

У нас локальных 30 пользователей, + 10 IP оборудования.

Как говорится, все вроде нормально. НО!

недавно подключили удаленного офиса к нам, по VPN. сама VPN_ка раздает IP адреса из подсети 172.16.10.0/24

Как бы тоже все работает, но в логах файрвола замечаю, что из удаленного офиса к нам ломятся как широковещетельные, так и SNMP. проверил у них IP адресации, получается тоже как у нас: 192.168.1.0/24 . Хотя долго думал то же IP адрес на которую идет SNMP запросы 192.168.1.30, это у нас или у них, т.к. у обеих есть такой адрес.

 

Теперь думаю поменять у них IP адресацию, потому что там всего 7 рабочих мест + сетевой принтер.

Если там у них поставлю 192.168.2.0/24 , решится же проблема с путаницей адресами ?

[Saab95]

Конечно решится. Адресация не должна пересекаться (адресация оконечных устройств), при этом можно либо разрешить всем доступ друг на друга, или файрволом ограничить как раз на основе этих адресов, ведь легко определить кто из удаленного офиса, кто из локалки и т.п.

[Collector]

Saab95

 

Спасибо, значит поставлю им адресацию 192.168.2.0/24 и все.

[vlad11]

Адреса 192.168.0.0/24, 192.168.1.0/24, 10.0.0.0/24 и 10.0.1.0/24 частоиспользуемые в приватных сетях.

Если не хотите пересечений, с последующей маршрутизаций и NAT, то используйте свой диапазон.

При использовании DHCP и DNS пользователи не заметят разницы.

[Collector]

vlad11

 

Ну если менять на удаленном сегменте адресацию, то все должно наладиться ведь?

[Negator]

Поставьте сразу 192.168.34.0/24 к примеру. А то ещё сегмент появится и опять все менять.

[Collector]

Negator

 

Это сарказм или вы серьезно ? )))

ну появится новый сегмент, обозначим 192.168.3.0/24

[myth]

192.168.0.0/24, 192.168.1.1/24 использовать на сети, пусть даже и небольшого предприятия чревато геморроем на ровном месте.

[Collector]

myth

Ну сразу 2 вопроса:

> чем гемморно ?

> какие IP адресации использовать тогда для нас и удаленного офиса ?

[myth]

гемморно тем, что пересекается с 99% SOHO устройств. Первый же принесенный кем-то вифи роутер, точка доступа или что-нибудь еще доставит массу незабываемых впечатлений

[Collector]

myth

 

Ну в этом случае да, согласен. А с другой стороны нехер в контору привести свои девайсы. А все девайсы через админ и сменой дефолт IP адресов на нужные.

[myth]

Лучше пусть все продолжит работать, чем не продолжит

[ShyLion]

В корп сегменте лучше использовать 10-ую сеть. Особенно когда используется VPN доступ к ней. Потому что всего одной галочкой в настройках VPN автоматически получается 10/8 маршрут на VPN соединение, что решает массу головняков.

10.0.0 и 10.1.1 лучше пропустить, а дальше свободно нарезать как хочешь.

А еще лучше начинать осваивать IPv6.

[myth]

+ гемоорой с удаленщиками(если есть). Т.к у них дома будет таки та же адресация

[Serejka]

А еще лучше начинать осваивать IPv6.

или хотя бы DHCP и Vlan на доступе, а так же домены :) а если уж пофеншуйнее то и базовый функционал port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров.

[myth]

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

[ShyLion]

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

 

802.1x, MAC based VLAN, и т.п., только когда зоопарк - тяжко.

[myth]

функция подделки мака есть в любом роутере

[ShyLion]

функция подделки мака есть в любом роутере

 

Еще бывают отмычки, отвертки, пояса шахидов и прочее.

Тут надо определиться, от чего защищаемся - от случано всунутого г-на или от целенаправленной атаки.

[myth]

От случайно всунутого Г хорошо помогает не использовать в сети сегменты, встречаемые в SOHO. От целенаправленных атак - loop detect, port security(ограничить количество маков на порту одним любым). 802.1x - крив и глючен. Настройка клонирования мака имеется прямо в веб морде роутера и целенаправленной атакой ее считать глупо. Напротив, это повод задуматься и установить туда легальную точку доступа.

[ShyLion]

мы о чем спорим то? эрудицией меряемся? :)

[myth]

Я эту свою мысль пытался ТС внушить, а то с квалификацией у него все плохо... Рано или поздно могут и удаленщики появиться. И вот тогда проблема встанет в полный рост

[Serejka]

port-security, чтобы вообще забыть про возможные приношения левых вайфай роутеров

Мак компьютера гвоздями к порту прибить? Ну и чем это удобно?

 

А чего неудобного? Речь идёт об офисе на 7 компов, очевидно с продаванами и бухгалтерами. sticky-learning, bpdufilter, portfast, storm-control, loopback detect - вполне себе сойдёт за базовый джентельменский набор, и высылкой всего добра на сислог сервер. Как отработает секьюрити на порту - глядеть что за мак прилетал и дальше принимать меры согласно требований ИБ конторы.

 

И да меры впервую очередь направлены на защиту от дурака, а не целенаправленную атаку. Да и что вы будете атаковать вашим роутером с клонированным МАКом такое, чего не могли сделать имея доступ к ПК сотрудника?

[myth]

Ничего не буду. Просто принесу роутер. С ip вашего сервака - 192.168.0.1, например

 

bpdufilter

Зачем это в

офисе на 7 компов

[ShyLion]

офисе на 7 компов

сислог сервер

 

Ага, Cisco Prime еще поставить :)