Перейти к содержимому
Калькуляторы

Можно ли выделить трафик пришедший из-за NAT?

Вопрос: можно ли стандартными средствами коммутатора Cisco или Huawei-HI  выделить трафик пришедший из-за NATa? Первым в голову приходит проверка ttl, конечно, но на циске этого, как я понял, не сделать. есть ли другие пути? или может хуавей это может?

Я не злодей из ISP, запрещающий роутеры:))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проверка по TTL ненадежная и неточная.

Обычно анализируют профиль трафика, количество и характер соединений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, alibek сказал:

Проверка по TTL ненадежная и неточная.

Обычно анализируют профиль трафика, количество и характер соединений.

это понятно, что на устройстве с НАТом может быть всякое, в том числе и изменение ттл как ему хочется. но анализ профиля трафика и тд - это не к коммутатору. а хотелось бы решить именно им. анализ ттл выглядит как вариант

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Думаю, что на коммутаторе доступа это вообще не решается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, alibek сказал:

Думаю, что на коммутаторе доступа это вообще не решается.

ну про коммутатор доступа я не говорил. есть на пути 3560 c каким хочешь софтом. с нее можно на Huawei S5720-56C-HI трафик завернуть (на него и самые большие надежды)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, ShyLion сказал:

Зачем?

+++ 

 

Думаю кто-то врем "Я не злодей из ISP, запрещающий роутеры:))" а за такое надо линейкой по рукам бить до полной потери пульса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

53 минуты назад, myst сказал:

+++ 

 

Думаю кто-то врем "Я не злодей из ISP, запрещающий роутеры:))" а за такое надо линейкой по рукам бить до полной потери пульса.

за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, anatoly сказал:

за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам

1) Зачем запрещать роутеры? 2) это делается другими механизмами например. 3) заставить почти любой роутер не менять ТТЛ как два пальца обоссать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уважаемый Анатолий. Я уже давно не работаю в энтерпрайзе, однако, в бытность мою сисадмином предприятия, самым эффективным способом решения подобных проблем было следующее:

1) В регламент ИТ (или как оно у вас называется) вносится необходимая поправка/запрет.

2) Так или иначе изменение доводится до сотрудников.

3) Выявляется нарушитель, и производится показательная казнь.

4) Профит.

Пункт 3 можно повторить еще пару раз.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

34 минуты назад, anatoly сказал:

за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы?

Во-первых, нужно не запрещать что-то, а разрешать. Т.е. на коммутаторах доступа настроить port-security.

Во-вторых зачем люди втыкают роутеры - для вайфая что ли? Поставьте свои ТД и раздавайте нахаляву своим-то сотрудникам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

41 minutes ago, anatoly said:

за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам

port-security, 802.1x, dhcp-snooping

последнее просто маст-хэв и решает основной головняк от домашнего роутера в сети - левый DHCP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да проще всё.

Запоминаем на каких портах какие маки, а дальше если левый мак пришёл с порта - алерт/блокировка. В принципе наверное 802.1х можно под это настроить, чтобы с паролем не приставал к конечникам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Ivan_83 Это ненадолго, в любом домашнем роутере есть кнопка clone MAC, и многие с ней дома знакомы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну ок, в PF есть fingerprints для детекта ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас настолько бедственное положение что сотрудники носят свои рутеры на работу? С какой целью вы там присутсвуете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 hours ago, Ivan_83 said:

Ну ок, в PF есть fingerprints для детекта ОС.

Речь ведь о коммутаторах. В котором из таковых существует PF , который обычно модуль из FreeBSD ? Был уже дан простой и верный ответ:  "802.1x, dhcp-snooping". Это стандартное и универсальное решение и незачем изобретать велосипед там где он не проедет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 21.04.2019 в 10:43, dvb2000 сказал:

Был уже дан простой и верный ответ:  "802.1x, dhcp-snooping"

802.1x - это защита от чужих.

дхцп снупинг вообще не в тему.

Если венда не в домене и учётка не юзверская + ещё пачка мер то это всё бесполезно, юзер 802.1х в роутере подымет, или вставит вифи свисток, подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 hours ago, Ivan_83 said:

802.1x - это защита от чужих.

дхцп снупинг вообще не в тему.

Если венда не в домене и учётка не юзверская + ещё пачка мер то это всё бесполезно, юзер 802.1х в роутере подымет, или вставит вифи свисток, подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить.

Коллега, 99% что проблема домашнего роутера в сети не в том что через него кто-то там в инет пойдет, а в том что его DHCP создаст хаос в сети.

Если у пользователей нет админских прав, они не смогут на рабочих машинах выставить адрес/шлюз вручную, а снупинг не даст получить адрес с говнороутера.

Вопросы сферической в вакууме информационной безопасности конечно существуют, но решать их нужно не только и не столько техническими средствами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

19 минут назад, ShyLion сказал:

Если у пользователей нет админских прав, они не смогут на рабочих машинах выставить адрес/шлюз вручную, а снупинг не даст получить адрес с говнороутера. 

В разрыв ставится говнороутер... Вобщем вариантов масса.

 

19 минут назад, ShyLion сказал:

Вопросы сферической в вакууме информационной безопасности конечно существуют, но решать их нужно не только и не столько техническими средствами. 

+1

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще возможно, что у топикстартера пользователи ставят домашний роутер WAN концом в сеть и раздают вифи на мобильнички.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ShyLion О_о вау КЭП  еще с первого поста было понятно. 

 

ТС чтобы так глубоко заглядывать в трафик скорее потребуются вещи типа межсетевого экрана asa cisco, но это дорого.

 

Как вариант ограничить доступ до ресурсов, которые используют мобильные устройства. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, ShyLion сказал:

Коллега, 99% что проблема домашнего роутера в сети не в том что через него кто-то там в инет пойдет, а в том что его DHCP создаст хаос в сети.

Каким образом?

Если его воткнуть WAN-портом, то ничего плохого не будет, а если LAN - то TTL и прочее безобразие тут не поможет, т.к. он будет работать как тупой свич. Во втором случае как раз ACL и port security нужны.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если там все так тяжело, прикрутите dot1x, чо думать то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

802.1x вообще ничем не поможет, если прикрутить только его.

Это только часть единой политики, которая должна быть разработана и внедрена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.