Jump to content
Калькуляторы

Защита портов на коммутаторе

Приветствую.

 

Понимаю что глупый вопрос, но вдруг есть какое-то решение. Можно ли как-то на коммутаторе защитить порты сделав так чтобы к определенному порту можно было подключить коммутатор с определенным MAC адресом на порту?

 

switch2011.thumb.jpg.693288b883fe9e4e34f5c73de8e52a84.jpg

 

Есть два офиса, в каждом по коммутатору, между ними другой коммутатор, но стоит он в чужом помещении, где есть доступ посторонним. Можно ли как-то сделать чтобы к промежуточному коммутатору в разврыв не подключили другой коммутатор, тем самым получили доступ в сеть. Сейчас промежуточным стоит микротик rb2011, но можно и cisco 2960 поставить.

Проблема в том что кол-во МАС адресов за коммутаторами с каждой стороны не известно. Но известны МАС адреса портов подключенных к RB2011.

Интересует как это сделать именно на L2, чтобы не терять в скорости.

Пока идея такая, что скриптом на rb2011 просматриваем MAC адреса на портах ether1 & ether2, и если среди них нет нужных то блокируем порт. Но если включить в разрыв другой коммутатор, то это никак не поможет.

Может есть другие варианты ?

 

Share this post


Link to post
Share on other sites

42 минуты назад, alibek сказал:

Используйте нормальное управляемое оборудование, в котором есть port-security.

Можно конкретнее чем мне поможет port-security на примере cisco 2960 ?

И что в вашем понимании "нормальное управляемое оборудование"? На опережение скажу оборудование поддерживающее MacSec отсутствует.

Edited by alger

Share this post


Link to post
Share on other sites

А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать?

 

Ну или жевачкой заклеить.

Share this post


Link to post
Share on other sites

1) У коммутатора нет мака на порту

2) 2011- это маршрутизатор

3) Если хотите избежать подключения коммутатора в разрыв. Тогда вариант такие: мониторить 24/7, закрыть в шкаф, убрать антаг трафик на аплинках (мера конечно призрачная, но от нуба с ноутом поможет)

4) Если не хотите чтобы левые пользователи включались в порты. Ставите настоящий коммутатор (например c2960). Затем выключаете неиспользуемые порты+ чтобы совсем 146% вариант dot1x (но с ним будут пляски, сразу говорю)

   

Share this post


Link to post
Share on other sites

11 часов назад, sol сказал:

А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать?

 

Ну или жевачкой заклеить.

Практика показывает, что если у кого-то начинают чесаться руки, то выключенными портами его не остановить.

Там и перезагрузят 10 раз, и сбросят, если найдут куда "скрепкой ткнуть" и наперетыкают так, что потом не разберешься.

Только закрываемый ящик/шкаф. Решать на физическом уровне модели OSI, а не на вышестоящих.

Share this post


Link to post
Share on other sites

12 часов назад, sol сказал:

А нельзя ли просто ВЫКЛЮЧИТЬ неиспользуемые порты. Чтобы левый комп физически некуда было втыкать?

 

Ну или жевачкой заклеить.

само собой отключены

Share this post


Link to post
Share on other sites

5 часов назад, VolanD666 сказал:

1) У коммутатора нет мака на порту

2) 2011- это маршрутизатор

3) Если хотите избежать подключения коммутатора в разрыв. Тогда вариант такие: мониторить 24/7, закрыть в шкаф, убрать антаг трафик на аплинках (мера конечно призрачная, но от нуба с ноутом поможет)

4) Если не хотите чтобы левые пользователи включались в порты. Ставите настоящий коммутатор (например c2960). Затем выключаете неиспользуемые порты+ чтобы совсем 146% вариант dot1x (но с ним будут пляски, сразу говорю)

   

1. есть

2. может работать и как коммутатор, а при использовании switch чипа очень даже не плохо. нужный мне гигабит дает. но не суть. как я писал вместо RB2011 могу и C2960 поставить. 2011 используется только потому что есть питание по POE, и не надо ставить отдельный бесперебойник.

3. мониторинг само собой есть, унтаг есть, идет в несуществюущий vlan. закрыть шкаф не могу, не мой.

4. Второй раз пишут про c2960, но никакой конкретики. Расскажите как это сделать ! Касательно моей задачи,  что такого может c2960 что не может rb2011 ?

Edited by alger

Share this post


Link to post
Share on other sites

5 минут назад, alger сказал:

1. есть

2. может работать и как коммутатор, а при использовании switch чипа очень даже не плохо. нужный мне гигабит дает. но не суть. как я писал вместо RB2011 могу и C2960 поставить. 2011 используется только потому что есть питание по POE, и не надо ставить отдельный бесперебойник.

3. мониторинг само собой есть, унтаг есть, идет в несуществюущий vlan. закрыть шкаф не могу, не мой.

4. вы второй раз пишите про c2960, но никакой конкретики. Так расскажите как это сделать !

1) Я имел ввиду, что если коммутатор сам ничего слать не будет- вы этот мак не увидите.

4) Что значит рассказать как сделать? Не понимаю вашего вопроса, рассказать как на 2960 порты выключаются или что?

Share this post


Link to post
Share on other sites

Только что, VolanD666 сказал:

4) Что значит рассказать как сделать? Не понимаю вашего вопроса, рассказать как на 2960 порты выключаются или что?

Вы написали "Ставите настоящий коммутатор (например c2960)", так что такого может с2960 что не может rb2011?

Или вы думаете на rb2011 нельзя выключить порт?

Share this post


Link to post
Share on other sites

Только что, alger сказал:

так что такого может с2960 что не может rb2011

Странный вопрос.

RB-2011 — это маршрутизатор с довольно убогим свитч-чипом (точнее двумя считчами).

Он не умеет port-security (с биндингом MAC-адресов), он не умеет всякие storm-control, он не умеет 802.1X.

Share this post


Link to post
Share on other sites

Ну вот поэтому я вам и предложил поставить настоящий свич и настроить на нем 802.1X чтобы посторонние пользователи не смогли подключиться. Если достаточно только выключения портов, тогда конечно можно оставить rb2011

Share this post


Link to post
Share on other sites

Только что, alibek сказал:

Странный вопрос.

RB-2011 — это маршрутизатор с довольно убогим свитч-чипом (точнее двумя считчами).

Он не умеет port-security (с биндингом MAC-адресов), он не умеет всякие storm-control, он не умеет 802.1X.

в ROS есть аналог port-security, покрывают возможности IOS на 90%. Установить ограничение по кол-во МАС и привязать МАС делается легко.

Но мы ушли от темы.

Конкретно по моей задаче, подскажите чем мне поможет c2960? 

 

 

10 минут назад, VolanD666 сказал:

Ну вот поэтому я вам и предложил поставить настоящий свич и настроить на нем 802.1X чтобы посторонние пользователи не смогли подключиться. Если достаточно только выключения портов, тогда конечно можно оставить rb2011

802.1X не подходит, т.к. это авторизация между коммутатором и клиентом.

 

ЗЫ: в ROS есть поддержка 802.1X

 

17 минут назад, VolanD666 сказал:

Ну насколько я помню, dot1x он не умеет. Или уже умеет?

на сколько знаю, не умеет.

Share this post


Link to post
Share on other sites

Дык чего вы хотите-то?

 

Выключите порты и всё. Через выключенный порт до вас никто не доберётся.

 

Если вы опасаетесь, что через выключенный порт до вас доберётся злоумышленник путём сброса железки в дефолт, то и всё ваши ухищрения с 802.1X не помогут также.

 

 

Share this post


Link to post
Share on other sites

10 минут назад, sol сказал:

Выключите порты и всё. Через выключенный порт до вас никто не доберётся.

 

Как я писал выше, не используемые порты включены. Я опасаюсь что через активные порты в разрыв воткнут другой коммутатор!

Share this post


Link to post
Share on other sites

5 минут назад, zhenya` сказал:

macsec

Как я писал выше, нет возможности.

во-первых у меня оборудование не поддерживает

во-вторых разве на транковом порту можно использовать macsec ?

Share this post


Link to post
Share on other sites

1 час назад, alger сказал:

Я опасаюсь что через активные порты в разрыв воткнут другой коммутатор!

Вне зависимости от того, кто чего умеет и/или поддерживает, у вас небезопасная среда. Вам нужно использовать шифрование того или иного рода. Используйте IPSec, MacSec или любое другое страшное слово. Но данные, проходящие через небезопасное место должны быть шифрованы.

 

Всё остальное ерунда.

802.1X тоже не поможет, т.к.:

1. Надо аутентифицировать все рабочие станции, имеющие доступ к каналу. Это тянет за собой инфраструктуру аутентификации. Радиусы всякие и т.д. Более того, есть ограничение по кол-во авторизованных МАС адресов на одном порту.

2. Делать аутентификацию станций надо с обеих сторон небезопасного канала а не посередине оного. И всю чешую, связанную с EAPOL придётся настраивать на всех станциях, имеющих доступ к каналу.

В целом, выгода гораздо меньше, чем геморрой от всего этого.

 

Поставьте по краям канала пару некротиков с аппаратной поддержкой шифрования и зашифруйте этот канал. Saab95 в помощь.

 

Ну или вот:

 

Share this post


Link to post
Share on other sites

как совсем странный вариант: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется

Share this post


Link to post
Share on other sites

16 минут назад, sol сказал:

Вне зависимости от того, кто чего умеет и/или поддерживает, у вас небезопасная среда. Вам нужно использовать шифрование того или иного рода. Используйте IPSec, MacSec или любое другое страшное слово. Но данные, проходящие через небезопасное место должны быть шифрованы.

 

Всё остальное ерунда.

802.1X тоже не поможет, т.к.:

1. Надо аутентифицировать все рабочие станции, имеющие доступ к каналу. Это тянет за собой инфраструктуру аутентификации. Радиусы всякие и т.д. Более того, есть ограничение по кол-во авторизованных МАС адресов на одном порту.

2. Делать аутентификацию станций надо с обеих сторон небезопасного канала а не посередине оного. И всю чешую, связанную с EAPOL придётся настраивать на всех станциях, имеющих доступ к каналу.

В целом, выгода гораздо меньше, чем геморрой от всего этого.

 

Поставьте по краям канала пару некротиков с аппаратной поддержкой шифрования и зашифруйте этот канал. Saab95 в помощь.

 

Ну или вот:

 

802.1Х я сразу отмел.

MacSec не могу себе позволить, слишком дорогое оборудование. Ссылка ваша интересная, но asr из-за этого ставить это как из пушки по воробьям.

Ставить невротики и пускать ipsec & eoip пока не готов. Это на крайний случай. С настройкой и сам справлюсь.

 

 

Share this post


Link to post
Share on other sites

13 минут назад, anatoly сказал:

как совсем странный вариант: настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется

А это вариант! 

Надо будет попробовать. 

 

Share this post


Link to post
Share on other sites

20 минут назад, anatoly сказал:

настроить между коммутаторами LACP из одного линка. при впихивании между членами LACP коммутатора на котором этот LACP не настроен - portchannel вроде не поднимется

А при впихивании "тупика" в этот портченнел?

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.