anatoly Posted April 18, 2019 · Report post Вопрос: можно ли стандартными средствами коммутатора Cisco или Huawei-HI выделить трафик пришедший из-за NATa? Первым в голову приходит проверка ttl, конечно, но на циске этого, как я понял, не сделать. есть ли другие пути? или может хуавей это может? Я не злодей из ISP, запрещающий роутеры:)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 18, 2019 · Report post Проверка по TTL ненадежная и неточная. Обычно анализируют профиль трафика, количество и характер соединений. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted April 18, 2019 · Report post 2 минуты назад, alibek сказал: Проверка по TTL ненадежная и неточная. Обычно анализируют профиль трафика, количество и характер соединений. это понятно, что на устройстве с НАТом может быть всякое, в том числе и изменение ттл как ему хочется. но анализ профиля трафика и тд - это не к коммутатору. а хотелось бы решить именно им. анализ ттл выглядит как вариант Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 18, 2019 · Report post Думаю, что на коммутаторе доступа это вообще не решается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted April 18, 2019 · Report post Только что, alibek сказал: Думаю, что на коммутаторе доступа это вообще не решается. ну про коммутатор доступа я не говорил. есть на пути 3560 c каким хочешь софтом. с нее можно на Huawei S5720-56C-HI трафик завернуть (на него и самые большие надежды) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 19, 2019 · Report post Зачем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted April 19, 2019 · Report post 1 час назад, ShyLion сказал: Зачем? +++ Думаю кто-то врем "Я не злодей из ISP, запрещающий роутеры:))" а за такое надо линейкой по рукам бить до полной потери пульса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
anatoly Posted April 19, 2019 · Report post 53 минуты назад, myst сказал: +++ Думаю кто-то врем "Я не злодей из ISP, запрещающий роутеры:))" а за такое надо линейкой по рукам бить до полной потери пульса. за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted April 19, 2019 · Report post 9 минут назад, anatoly сказал: за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам 1) Зачем запрещать роутеры? 2) это делается другими механизмами например. 3) заставить почти любой роутер не менять ТТЛ как два пальца обоссать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Archville Posted April 19, 2019 · Report post Уважаемый Анатолий. Я уже давно не работаю в энтерпрайзе, однако, в бытность мою сисадмином предприятия, самым эффективным способом решения подобных проблем было следующее: 1) В регламент ИТ (или как оно у вас называется) вносится необходимая поправка/запрет. 2) Так или иначе изменение доводится до сотрудников. 3) Выявляется нарушитель, и производится показательная казнь. 4) Профит. Пункт 3 можно повторить еще пару раз. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted April 19, 2019 · Report post 34 минуты назад, anatoly сказал: за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? Во-первых, нужно не запрещать что-то, а разрешать. Т.е. на коммутаторах доступа настроить port-security. Во-вторых зачем люди втыкают роутеры - для вайфая что ли? Поставьте свои ТД и раздавайте нахаляву своим-то сотрудникам Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 19, 2019 · Report post 41 minutes ago, anatoly said: за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам port-security, 802.1x, dhcp-snooping последнее просто маст-хэв и решает основной головняк от домашнего роутера в сети - левый DHCP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted April 20, 2019 · Report post Да проще всё. Запоминаем на каких портах какие маки, а дальше если левый мак пришёл с порта - алерт/блокировка. В принципе наверное 802.1х можно под это настроить, чтобы с паролем не приставал к конечникам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 20, 2019 · Report post @Ivan_83 Это ненадолго, в любом домашнем роутере есть кнопка clone MAC, и многие с ней дома знакомы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted April 20, 2019 · Report post Ну ок, в PF есть fingerprints для детекта ОС. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
user71 Posted April 21, 2019 · Report post У вас настолько бедственное положение что сотрудники носят свои рутеры на работу? С какой целью вы там присутсвуете? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dvb2000 Posted April 21, 2019 · Report post 9 hours ago, Ivan_83 said: Ну ок, в PF есть fingerprints для детекта ОС. Речь ведь о коммутаторах. В котором из таковых существует PF , который обычно модуль из FreeBSD ? Был уже дан простой и верный ответ: "802.1x, dhcp-snooping". Это стандартное и универсальное решение и незачем изобретать велосипед там где он не проедет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted April 22, 2019 · Report post В 21.04.2019 в 10:43, dvb2000 сказал: Был уже дан простой и верный ответ: "802.1x, dhcp-snooping" 802.1x - это защита от чужих. дхцп снупинг вообще не в тему. Если венда не в домене и учётка не юзверская + ещё пачка мер то это всё бесполезно, юзер 802.1х в роутере подымет, или вставит вифи свисток, подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 23, 2019 · Report post 14 hours ago, Ivan_83 said: 802.1x - это защита от чужих. дхцп снупинг вообще не в тему. Если венда не в домене и учётка не юзверская + ещё пачка мер то это всё бесполезно, юзер 802.1х в роутере подымет, или вставит вифи свисток, подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить. Коллега, 99% что проблема домашнего роутера в сети не в том что через него кто-то там в инет пойдет, а в том что его DHCP создаст хаос в сети. Если у пользователей нет админских прав, они не смогут на рабочих машинах выставить адрес/шлюз вручную, а снупинг не даст получить адрес с говнороутера. Вопросы сферической в вакууме информационной безопасности конечно существуют, но решать их нужно не только и не столько техническими средствами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted April 23, 2019 · Report post 19 минут назад, ShyLion сказал: Если у пользователей нет админских прав, они не смогут на рабочих машинах выставить адрес/шлюз вручную, а снупинг не даст получить адрес с говнороутера. В разрыв ставится говнороутер... Вобщем вариантов масса. 19 минут назад, ShyLion сказал: Вопросы сферической в вакууме информационной безопасности конечно существуют, но решать их нужно не только и не столько техническими средствами. +1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 23, 2019 · Report post Еще возможно, что у топикстартера пользователи ставят домашний роутер WAN концом в сеть и раздают вифи на мобильнички. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted April 23, 2019 · Report post @ShyLion О_о вау КЭП еще с первого поста было понятно. ТС чтобы так глубоко заглядывать в трафик скорее потребуются вещи типа межсетевого экрана asa cisco, но это дорого. Как вариант ограничить доступ до ресурсов, которые используют мобильные устройства. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
[anp/hsw] Posted April 23, 2019 · Report post 1 час назад, ShyLion сказал: Коллега, 99% что проблема домашнего роутера в сети не в том что через него кто-то там в инет пойдет, а в том что его DHCP создаст хаос в сети. Каким образом? Если его воткнуть WAN-портом, то ничего плохого не будет, а если LAN - то TTL и прочее безобразие тут не поможет, т.к. он будет работать как тупой свич. Во втором случае как раз ACL и port security нужны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted April 23, 2019 · Report post Если там все так тяжело, прикрутите dot1x, чо думать то? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 23, 2019 · Report post 802.1x вообще ничем не поможет, если прикрутить только его. Это только часть единой политики, которая должна быть разработана и внедрена. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...