Перейти к содержимому
Калькуляторы

Можно ли выделить трафик пришедший из-за NAT?

Устраивать обходы с WiFi/4G сканером, пойманных наказывать в админ. порядке - выговоры, депремирования, увольнения злостных по статье. Полностью не искоренимо, но будут соблюдаться приличия и осторожность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну ваще несколько странно, пользователи всегда могут скинутся, купить *** роутер и платить за безлимит вскладчину, показывая фак местному админу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 hours ago, pingz said:

@ShyLion О_о вау КЭП  еще с первого поста было понятно. 

Да, ступил :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 23.04.2019 в 13:54, jffulcrum сказал:

Устраивать обходы с WiFi/4G сканером, пойманных наказывать в админ. порядке - выговоры, депремирования, увольнения злостных по статье. Полностью не искоренимо, но будут соблюдаться приличия и осторожность.

 Почти в любом ведроиде можно поставить wifi-analyser, там видны сети... А вообще - проблема административная, если это федеральная контора, то всё решается просто. Если вдрюг мелкий злобный хозяин решит что он повысит производительность труда таким образом, ну глупый способ самоубийства.... Ну или купить кучку глушилок wifi.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 4/22/2019 at 5:11 PM, Ivan_83 said:

802.1x - это защита от чужих.

дхцп снупинг вообще не в тему.

подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить.

Топик стартер довольно просто и внятно описал свою задачу: "в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы"

Именно от этого защитит его 802.1х. Ни "венда", не "домен" не имеют к этому ни какой связи. 802.1х настраивается в "венде" и без какой либо привязки к домену и при помощи RADIUS сервера, который может быть любой, а авторизация может быть как при помощи учётной записи и пароля ( не известных пользователям ), так и при помощи сертификатов, до которых пользователи не могут тоже добраться сами.

А вот то что юзер: "подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить", это так же на предприятии на уровне юзеровских фантазий, так как политики в корпоративных машинах на дают даже близко возможности юзерам такого творить.

Про "дхцп снупинг" и почему он именно в тему разъясню по простому. Если его нету, а юзер воткнул свой домашний роутер в сеть организации портом LAN, в которой в добавок ещё и нет 802.1х, то этот его домашний роутер станет в корпоративной сети левым DHCP сервером, который положит эту сеть. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в попытке зашифроваться - огреб по полной

про 802.1х знаю, и про порт-секурити, и дхцп-снуппинг

задача просто отловить трафик изза nat. единственным возможным на коммутаторах способом видилось смотреть в ттл. возможно это и не надежный и легко обходимый способ, но ведь сперва надо понять что блокируют именно так. но раз это анрил - вопрос исчерпан

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Отловить левый dhcp в сегменте(влане) достаточно просто. Включаемся в сегмент с dhcp-клиентом, получаем IP. Идем в инет - видим внешний ip. Если ваш - далее лезем куда-нибудь в свои сервера, которые логгируют соединения, и видим, с какого mac-ip вход. Далее - административные разборки(на управляемом коммутаторе порт с данным mac выявить очень просто) Можно просто погасить порт, и подождать пока террорист сам появится :) А dhcp-snoop весьма полезная штука. Например у нас есть неприятная особенность, не сообщать админам об отключении клиента, но я с ней борюсь. Клиент например переподключается к иному провайдеру, оставляя наш линк в своей локалке - ну есть еще такие долбодятлы. И усё, соседи халявно его имеют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 minutes ago, YuryD said:

 Отловить левый dhcp в сегменте(влане) достаточно просто. 

Его не отлавливать нужно. После того как настроен DHCP snooping, левого DHCP просто не появится, ни в одном сегменте (влвне), он просто блокируется уже на порте коммутатора к которому подключено устройство с левым DHCP сервером. Непонятно зачем люди осознанно оставляют места для проблем в тех местах где их можно избежать тривиальными средствами, а потом пытаются искать их и героически бороться с ними.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, dvb2000 сказал:

Его не отлавливать нужно.

  Иногда нужно, чтобы найти виновного например, есть такие желания у начальства например :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, YuryD said:

  Иногда нужно, чтобы найти виновного например, есть такие желания у начальства например :)

Когда нужно чтобы найти виновного например, то тогда тоже нечего городить огород и подключаться в сегмент чем либо, DHCP snooping делает это всё стандартно, автоматически и кроме того что присылает логи со всеми данными, во время события, так он ещё и даёт увидеть любую статистику и в реальном времени, где будет расписано всё предельно ясно. Например, так:

 

# show ip-security dhcp-snooping violations vlan <vlan-name>
------------------------------------
Port              Violating MAC
------------------------------------
39              00:50:56:2b:98:e0

 

А так может выглядеть лог:

 

[date time]  <Warn:ipSecur.dhcpViol> A Rogue DHCP server on VLAN <vlan-name> with IP <ip-address> was detected on port <client-port>
[date time]  <Warn:ipSecur.drpPkt> DHCP violation occurred on port <client-port> Packet was dropped.

 

Так что нужно только знать базовые возможности сетевого оборудования и тогда не надо будет изобретать велосипед и не потребуется более геройски бороться с юзерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, dvb2000 сказал:

Так что нужно только знать базовые возможности сетевого оборудования и тогда не надо будет изобретать велосипед и не потребуется более геройски бороться с юзерами.

 :) Найдите эту команду в киске

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, dvb2000 сказал:

Так что нужно только знать базовые возможности сетевого оборудования и тогда не надо будет изобретать велосипед и не потребуется более геройски бороться с юзерами.

 :) Найдите эту команду в киске

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, YuryD said:

 :) Найдите эту команду в киске

В киске нечего искать команд от других вендоров, команд которых в киске нет отродясь, так же как в оборудовании других производителей нечего искать команд используемых только в киске.

В киске достаточно знать хотя-бы команды используемые в ней, например такие как:

DHCP snooping spurious server detection

Или такие как:

debug ip dhcp snooping

И знать как выглядит синтаксис релевантных сообщений о событиях в сислоге, для того что-бы за секунду при помощи нужного фильтра увидеть всё что важно по теме и понять о каком порте какого коммутатора идёт речь и в каком вилане происходит непотребное. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 час назад, YuryD сказал:

Идем в инет - видим внешний ip. Если ваш - далее лезем куда-нибудь в свои сервера, которые логгируют соединения, и видим, с какого mac-ip вход

зачем так сложно? получаем адрес - видим ip сервера - далаем arp -a - ищем порт по маку

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, dvb2000 сказал:

И знать как выглядит синтаксис релевантных сообщений о событиях в сислоге, для того что-бы за секунду при помощи нужного фильтра увидеть всё что важно по

 Хихис :) Как работает dhcp spoof я в киско из без букварей выучил давно :) И что такое сислог и как читать его, давно научен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, anatoly сказал:

зачем так сложно? получаем адрес - видим ip сервера - далаем arp -a - ищем порт по маку

 Речь была о конторе, а не о сети масштаба города. В конторах - на нормальных сисадминах давно сэкономили. Конторская сеть - как правило у моих клиентов - фстэковский экран на входе, далее полный неуправляемый бардак, т.е. коммутаторы управляемые(куча блинков с дефолтными адресами и паролями), а админа в конторе просто нету, не положен, оптимизировали. Пара случаЁв.

 

1. В сеть госконторскую вредрили дпи видимо, и обязали отзеркалить весь трафик 48-портов 100М, отзеркалить в один 100М порт для их железяки контроля. Блинк естественно почти справился, все успешно отчитались об внедрёже.  Только  сеть полегла....

 

2. Медконтора - спд им сделали, но какой-то штоматолог поймал злобного трояна, и сумел весь свой влан забить паразитами изнутри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, anatoly сказал:

зачем так сложно? получаем адрес - видим ip сервера - далаем arp -a - ищем порт по маку

 Чего увидите ? IP полученный по dhcp?  И левый мас  левого dhcp-сервера. Ищем мас по порту - ну можете и не найти, кто-то свисток опсосовский воткнул в локалку, Ы ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 hours ago, YuryD said:

 Хихис :) Как работает dhcp spoof я в киско из без букварей выучил давно :) И что такое сислог и как читать его, давно научен :)

Ну раз так, то к чему тогда все эти вопросы о поисках релевантных тривиальных команд об отображений событий dhcp spoof и о обнаружений левых DHCP серверов в киско?

И откуда тогда эти утверждения что что-бы обнаружить эти левые DHCP серверы, то необходимо делать такие страшные извращения описанные вами до того? 

например тут:

 On 4/25/2019 at 5:49 PM, YuryD said: Отловить левый dhcp в сегменте(влане) достаточно просто. Включаемся в сегмент с dhcp-клиентом, получаем IP. Идем в инет - видим внешний ip. Если ваш - далее лезем куда-нибудь в свои сервера, которые логгируют соединения, и видим, с какого mac-ip вход. 

Изменено пользователем dvb2000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проблемы по сути две:

1. говнороутер WAN портом в корп-сеть, раздает корп-сеть и инет налево

решается:

  по взрослому - 802.1x

  от дурачков - port-security, mac-auth

  совсем костыли - периодически опрашивать свитч на предмет маков на порту, блокировать порт/слать алерт если левые маки

 

  802.1x влечет за собой кучу неизбежного административного гемора

 

2. говнороутер LAN портом в корп-сети, в добавок к проблемам варианта 1 добавляет еще левывй DHCP

решается методами из пункта 1, плюс dhcp-snopping

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 4/29/2019 at 9:26 AM, ShyLion said:

  802.1x влечет за собой кучу неизбежного административного гемора

802.1x не только не влечёт за собой кучу неизбежного административного гемора, но ещё и разгребает и избавляет от множества таких куч которые были до его внедрения и развёртывания. И речь не идёт только об обрубании возможности для пользователей тянуть в корпоративную сеть весь свой домашний хлам создающий хаос, и даже не только о на порядок повышение общей сетевой безопасности, а даже о таких аспектах как то что больше не требуется в ручную привязывать нужные виланы к портам доступа, и теперь это всё происходит динамически при помощи соответствующих радиус атрибутов учётной записи. Теперь телефону подключенному в порт коммутатора присваивается соответствующий Voice VLAN, камере присваивается surveillance vlan, а компьютеру или принтеру присваивается VLAN того отдела к которому они относятся.

Всё, с нескончаемой ручной настройкой портов доступа теперь покончено и во время переездов из места на место юзер не морочит больше голову.

И это только один из примеров о чём идёт речь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, dvb2000 сказал:

И это только один из примеров о чём идёт речь.

А еще для работы всего этого счастья требуется поддержка и совместимость на уровне сетевого и клиентского оборудования.

И с этой поддержкой и совместимостью даже в тепличных условиях энтерпрайза не все бывает ладно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, alibek сказал:

И с этой поддержкой и совместимостью даже в тепличных условиях энтерпрайза не все бывает ладно.

Например, у Intel AMT с этим все было очень тяжело. Там физически не было возможности подсунуть свой корпоративный сертификат, надо было только публичный, причем из ограниченного списка УЦ. Пришлось делать две конфигурации, со своим сертификатом и с публичным для работы AMT. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 hours ago, dvb2000 said:

И это только один из примеров о чём идёт речь.

На бумаге он прекрасен, бесспорно :)

 

Учитывая его "популярность" среди админов и не очень, пишут его вендоры на своих говножелезках соразмерно этой самой популярности. В итоге реально работает в очень тепличных условиях после подбора правильных вендоров железа, клиентских ОС, и версий софта, драйверов и прочего.

 

Эджайл, и вот это вот все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну по поводу "популярности" оного. Например в различных ОС от Микрософта, так там например он присутствует повсеместно уже более десяти лет, начиная от Windows 7. Кстати, драйвера к нему отношения не имеют. Про то что во всех дистрибутивах линокса  и фрибиэсди то там тоже всё нормально с ним. А по поводу работоспособной его поддержки в разных железяках, так в принтерах разных вендоров он тоже уже десятилетие как присутствует не только в оборудовании Enterprise класса и не только в SMB, но даже в домашних струйных принтомыльницах. О камерах и NVRs я вообще не говорю, там он есть даже в махровой китайщине. А в телефонах, то и подавно.  

А вот про админов, так среди админов это один из базовых элементов сети, если речь идёт об админах, а не об эникейщиках которые только могут втыкать кабель в розетку.

Прилагаются пару скринов от первого попавшего под руку оборудования. 

802.1x1a.jpg

Изменено пользователем dvb2000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 hours ago, jffulcrum said:

Например, у Intel AMT с этим все было очень тяжело. Там физически не было возможности подсунуть свой корпоративный сертификат, надо было только публичный, причем из ограниченного списка УЦ. Пришлось делать две конфигурации, со своим сертификатом и с публичным для работы AMT. 

Не ясно при чём тут AMT, но вот в 802.1х так там можно пользоваться не только корпоративным сертификатом, ни и любым  self signed.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.