Jump to content
Калькуляторы

Можно ли выделить трафик пришедший из-за NAT?

Вопрос: можно ли стандартными средствами коммутатора Cisco или Huawei-HI  выделить трафик пришедший из-за NATa? Первым в голову приходит проверка ttl, конечно, но на циске этого, как я понял, не сделать. есть ли другие пути? или может хуавей это может?

Я не злодей из ISP, запрещающий роутеры:))

Share this post


Link to post
Share on other sites

Проверка по TTL ненадежная и неточная.

Обычно анализируют профиль трафика, количество и характер соединений.

Share this post


Link to post
Share on other sites
2 минуты назад, alibek сказал:

Проверка по TTL ненадежная и неточная.

Обычно анализируют профиль трафика, количество и характер соединений.

это понятно, что на устройстве с НАТом может быть всякое, в том числе и изменение ттл как ему хочется. но анализ профиля трафика и тд - это не к коммутатору. а хотелось бы решить именно им. анализ ттл выглядит как вариант

Share this post


Link to post
Share on other sites

Думаю, что на коммутаторе доступа это вообще не решается.

Share this post


Link to post
Share on other sites
Только что, alibek сказал:

Думаю, что на коммутаторе доступа это вообще не решается.

ну про коммутатор доступа я не говорил. есть на пути 3560 c каким хочешь софтом. с нее можно на Huawei S5720-56C-HI трафик завернуть (на него и самые большие надежды)

Share this post


Link to post
Share on other sites
1 час назад, ShyLion сказал:

Зачем?

+++ 

 

Думаю кто-то врем "Я не злодей из ISP, запрещающий роутеры:))" а за такое надо линейкой по рукам бить до полной потери пульса.

Share this post


Link to post
Share on other sites
53 минуты назад, myst сказал:

+++ 

 

Думаю кто-то врем "Я не злодей из ISP, запрещающий роутеры:))" а за такое надо линейкой по рукам бить до полной потери пульса.

за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам

Share this post


Link to post
Share on other sites
9 минут назад, anatoly сказал:

за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам

1) Зачем запрещать роутеры? 2) это делается другими механизмами например. 3) заставить почти любой роутер не менять ТТЛ как два пальца обоссать.

Share this post


Link to post
Share on other sites

Уважаемый Анатолий. Я уже давно не работаю в энтерпрайзе, однако, в бытность мою сисадмином предприятия, самым эффективным способом решения подобных проблем было следующее:

1) В регламент ИТ (или как оно у вас называется) вносится необходимая поправка/запрет.

2) Так или иначе изменение доводится до сотрудников.

3) Выявляется нарушитель, и производится показательная казнь.

4) Профит.

Пункт 3 можно повторить еще пару раз.

 

Share this post


Link to post
Share on other sites
34 минуты назад, anatoly сказал:

за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы?

Во-первых, нужно не запрещать что-то, а разрешать. Т.е. на коммутаторах доступа настроить port-security.

Во-вторых зачем люди втыкают роутеры - для вайфая что ли? Поставьте свои ТД и раздавайте нахаляву своим-то сотрудникам

Share this post


Link to post
Share on other sites
41 minutes ago, anatoly said:

за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам

port-security, 802.1x, dhcp-snooping

последнее просто маст-хэв и решает основной головняк от домашнего роутера в сети - левый DHCP

Share this post


Link to post
Share on other sites

Да проще всё.

Запоминаем на каких портах какие маки, а дальше если левый мак пришёл с порта - алерт/блокировка. В принципе наверное 802.1х можно под это настроить, чтобы с паролем не приставал к конечникам.

Share this post


Link to post
Share on other sites

@Ivan_83 Это ненадолго, в любом домашнем роутере есть кнопка clone MAC, и многие с ней дома знакомы

Share this post


Link to post
Share on other sites

Ну ок, в PF есть fingerprints для детекта ОС.

Share this post


Link to post
Share on other sites

У вас настолько бедственное положение что сотрудники носят свои рутеры на работу? С какой целью вы там присутсвуете?

Share this post


Link to post
Share on other sites
9 hours ago, Ivan_83 said:

Ну ок, в PF есть fingerprints для детекта ОС.

Речь ведь о коммутаторах. В котором из таковых существует PF , который обычно модуль из FreeBSD ? Был уже дан простой и верный ответ:  "802.1x, dhcp-snooping". Это стандартное и универсальное решение и незачем изобретать велосипед там где он не проедет.

Share this post


Link to post
Share on other sites
В 21.04.2019 в 10:43, dvb2000 сказал:

Был уже дан простой и верный ответ:  "802.1x, dhcp-snooping"

802.1x - это защита от чужих.

дхцп снупинг вообще не в тему.

Если венда не в домене и учётка не юзверская + ещё пачка мер то это всё бесполезно, юзер 802.1х в роутере подымет, или вставит вифи свисток, подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить.

Share this post


Link to post
Share on other sites
14 hours ago, Ivan_83 said:

802.1x - это защита от чужих.

дхцп снупинг вообще не в тему.

Если венда не в домене и учётка не юзверская + ещё пачка мер то это всё бесполезно, юзер 802.1х в роутере подымет, или вставит вифи свисток, подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить.

Коллега, 99% что проблема домашнего роутера в сети не в том что через него кто-то там в инет пойдет, а в том что его DHCP создаст хаос в сети.

Если у пользователей нет админских прав, они не смогут на рабочих машинах выставить адрес/шлюз вручную, а снупинг не даст получить адрес с говнороутера.

Вопросы сферической в вакууме информационной безопасности конечно существуют, но решать их нужно не только и не столько техническими средствами.

Share this post


Link to post
Share on other sites

 

19 минут назад, ShyLion сказал:

Если у пользователей нет админских прав, они не смогут на рабочих машинах выставить адрес/шлюз вручную, а снупинг не даст получить адрес с говнороутера. 

В разрыв ставится говнороутер... Вобщем вариантов масса.

 

19 минут назад, ShyLion сказал:

Вопросы сферической в вакууме информационной безопасности конечно существуют, но решать их нужно не только и не столько техническими средствами. 

+1

 

 

Share this post


Link to post
Share on other sites

Еще возможно, что у топикстартера пользователи ставят домашний роутер WAN концом в сеть и раздают вифи на мобильнички.

 

Share this post


Link to post
Share on other sites

@ShyLion О_о вау КЭП  еще с первого поста было понятно. 

 

ТС чтобы так глубоко заглядывать в трафик скорее потребуются вещи типа межсетевого экрана asa cisco, но это дорого.

 

Как вариант ограничить доступ до ресурсов, которые используют мобильные устройства. 

Share this post


Link to post
Share on other sites
1 час назад, ShyLion сказал:

Коллега, 99% что проблема домашнего роутера в сети не в том что через него кто-то там в инет пойдет, а в том что его DHCP создаст хаос в сети.

Каким образом?

Если его воткнуть WAN-портом, то ничего плохого не будет, а если LAN - то TTL и прочее безобразие тут не поможет, т.к. он будет работать как тупой свич. Во втором случае как раз ACL и port security нужны.

 

Share this post


Link to post
Share on other sites

Если там все так тяжело, прикрутите dot1x, чо думать то?

Share this post


Link to post
Share on other sites

802.1x вообще ничем не поможет, если прикрутить только его.

Это только часть единой политики, которая должна быть разработана и внедрена.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now