jffulcrum Опубликовано 23 апреля, 2019 · Жалоба Устраивать обходы с WiFi/4G сканером, пойманных наказывать в админ. порядке - выговоры, депремирования, увольнения злостных по статье. Полностью не искоренимо, но будут соблюдаться приличия и осторожность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 апреля, 2019 · Жалоба Ну ваще несколько странно, пользователи всегда могут скинутся, купить *** роутер и платить за безлимит вскладчину, показывая фак местному админу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 23 апреля, 2019 · Жалоба 6 hours ago, pingz said: @ShyLion О_о вау КЭП еще с первого поста было понятно. Да, ступил :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 апреля, 2019 · Жалоба В 23.04.2019 в 13:54, jffulcrum сказал: Устраивать обходы с WiFi/4G сканером, пойманных наказывать в админ. порядке - выговоры, депремирования, увольнения злостных по статье. Полностью не искоренимо, но будут соблюдаться приличия и осторожность. Почти в любом ведроиде можно поставить wifi-analyser, там видны сети... А вообще - проблема административная, если это федеральная контора, то всё решается просто. Если вдрюг мелкий злобный хозяин решит что он повысит производительность труда таким образом, ну глупый способ самоубийства.... Ну или купить кучку глушилок wifi. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 25 апреля, 2019 · Жалоба On 4/22/2019 at 5:11 PM, Ivan_83 said: 802.1x - это защита от чужих. дхцп снупинг вообще не в тему. подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить. Топик стартер довольно просто и внятно описал свою задачу: "в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы" Именно от этого защитит его 802.1х. Ни "венда", не "домен" не имеют к этому ни какой связи. 802.1х настраивается в "венде" и без какой либо привязки к домену и при помощи RADIUS сервера, который может быть любой, а авторизация может быть как при помощи учётной записи и пароля ( не известных пользователям ), так и при помощи сертификатов, до которых пользователи не могут тоже добраться сами. А вот то что юзер: "подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить", это так же на предприятии на уровне юзеровских фантазий, так как политики в корпоративных машинах на дают даже близко возможности юзерам такого творить. Про "дхцп снупинг" и почему он именно в тему разъясню по простому. Если его нету, а юзер воткнул свой домашний роутер в сеть организации портом LAN, в которой в добавок ещё и нет 802.1х, то этот его домашний роутер станет в корпоративной сети левым DHCP сервером, который положит эту сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 25 апреля, 2019 · Жалоба в попытке зашифроваться - огреб по полной про 802.1х знаю, и про порт-секурити, и дхцп-снуппинг задача просто отловить трафик изза nat. единственным возможным на коммутаторах способом видилось смотреть в ттл. возможно это и не надежный и легко обходимый способ, но ведь сперва надо понять что блокируют именно так. но раз это анрил - вопрос исчерпан Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 апреля, 2019 · Жалоба Отловить левый dhcp в сегменте(влане) достаточно просто. Включаемся в сегмент с dhcp-клиентом, получаем IP. Идем в инет - видим внешний ip. Если ваш - далее лезем куда-нибудь в свои сервера, которые логгируют соединения, и видим, с какого mac-ip вход. Далее - административные разборки(на управляемом коммутаторе порт с данным mac выявить очень просто) Можно просто погасить порт, и подождать пока террорист сам появится :) А dhcp-snoop весьма полезная штука. Например у нас есть неприятная особенность, не сообщать админам об отключении клиента, но я с ней борюсь. Клиент например переподключается к иному провайдеру, оставляя наш линк в своей локалке - ну есть еще такие долбодятлы. И усё, соседи халявно его имеют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 25 апреля, 2019 · Жалоба 22 minutes ago, YuryD said: Отловить левый dhcp в сегменте(влане) достаточно просто. Его не отлавливать нужно. После того как настроен DHCP snooping, левого DHCP просто не появится, ни в одном сегменте (влвне), он просто блокируется уже на порте коммутатора к которому подключено устройство с левым DHCP сервером. Непонятно зачем люди осознанно оставляют места для проблем в тех местах где их можно избежать тривиальными средствами, а потом пытаются искать их и героически бороться с ними. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 апреля, 2019 · Жалоба 1 минуту назад, dvb2000 сказал: Его не отлавливать нужно. Иногда нужно, чтобы найти виновного например, есть такие желания у начальства например :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 25 апреля, 2019 · Жалоба 1 hour ago, YuryD said: Иногда нужно, чтобы найти виновного например, есть такие желания у начальства например :) Когда нужно чтобы найти виновного например, то тогда тоже нечего городить огород и подключаться в сегмент чем либо, DHCP snooping делает это всё стандартно, автоматически и кроме того что присылает логи со всеми данными, во время события, так он ещё и даёт увидеть любую статистику и в реальном времени, где будет расписано всё предельно ясно. Например, так: # show ip-security dhcp-snooping violations vlan <vlan-name> ------------------------------------ Port Violating MAC ------------------------------------ 39 00:50:56:2b:98:e0 А так может выглядеть лог: [date time] <Warn:ipSecur.dhcpViol> A Rogue DHCP server on VLAN <vlan-name> with IP <ip-address> was detected on port <client-port> [date time] <Warn:ipSecur.drpPkt> DHCP violation occurred on port <client-port> Packet was dropped. Так что нужно только знать базовые возможности сетевого оборудования и тогда не надо будет изобретать велосипед и не потребуется более геройски бороться с юзерами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 апреля, 2019 · Жалоба 9 часов назад, dvb2000 сказал: Так что нужно только знать базовые возможности сетевого оборудования и тогда не надо будет изобретать велосипед и не потребуется более геройски бороться с юзерами. :) Найдите эту команду в киске Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 апреля, 2019 · Жалоба 9 часов назад, dvb2000 сказал: Так что нужно только знать базовые возможности сетевого оборудования и тогда не надо будет изобретать велосипед и не потребуется более геройски бороться с юзерами. :) Найдите эту команду в киске Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 26 апреля, 2019 · Жалоба 3 hours ago, YuryD said: :) Найдите эту команду в киске В киске нечего искать команд от других вендоров, команд которых в киске нет отродясь, так же как в оборудовании других производителей нечего искать команд используемых только в киске. В киске достаточно знать хотя-бы команды используемые в ней, например такие как: DHCP snooping spurious server detection Или такие как: debug ip dhcp snooping И знать как выглядит синтаксис релевантных сообщений о событиях в сислоге, для того что-бы за секунду при помощи нужного фильтра увидеть всё что важно по теме и понять о каком порте какого коммутатора идёт речь и в каком вилане происходит непотребное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 26 апреля, 2019 · Жалоба 21 час назад, YuryD сказал: Идем в инет - видим внешний ip. Если ваш - далее лезем куда-нибудь в свои сервера, которые логгируют соединения, и видим, с какого mac-ip вход зачем так сложно? получаем адрес - видим ip сервера - далаем arp -a - ищем порт по маку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 апреля, 2019 · Жалоба 8 часов назад, dvb2000 сказал: И знать как выглядит синтаксис релевантных сообщений о событиях в сислоге, для того что-бы за секунду при помощи нужного фильтра увидеть всё что важно по Хихис :) Как работает dhcp spoof я в киско из без букварей выучил давно :) И что такое сислог и как читать его, давно научен :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 апреля, 2019 · Жалоба 2 часа назад, anatoly сказал: зачем так сложно? получаем адрес - видим ip сервера - далаем arp -a - ищем порт по маку Речь была о конторе, а не о сети масштаба города. В конторах - на нормальных сисадминах давно сэкономили. Конторская сеть - как правило у моих клиентов - фстэковский экран на входе, далее полный неуправляемый бардак, т.е. коммутаторы управляемые(куча блинков с дефолтными адресами и паролями), а админа в конторе просто нету, не положен, оптимизировали. Пара случаЁв. 1. В сеть госконторскую вредрили дпи видимо, и обязали отзеркалить весь трафик 48-портов 100М, отзеркалить в один 100М порт для их железяки контроля. Блинк естественно почти справился, все успешно отчитались об внедрёже. Только сеть полегла.... 2. Медконтора - спд им сделали, но какой-то штоматолог поймал злобного трояна, и сумел весь свой влан забить паразитами изнутри. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 апреля, 2019 · Жалоба 2 часа назад, anatoly сказал: зачем так сложно? получаем адрес - видим ip сервера - далаем arp -a - ищем порт по маку Чего увидите ? IP полученный по dhcp? И левый мас левого dhcp-сервера. Ищем мас по порту - ну можете и не найти, кто-то свисток опсосовский воткнул в локалку, Ы ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 27 апреля, 2019 (изменено) · Жалоба 17 hours ago, YuryD said: Хихис :) Как работает dhcp spoof я в киско из без букварей выучил давно :) И что такое сислог и как читать его, давно научен :) Ну раз так, то к чему тогда все эти вопросы о поисках релевантных тривиальных команд об отображений событий dhcp spoof и о обнаружений левых DHCP серверов в киско? И откуда тогда эти утверждения что что-бы обнаружить эти левые DHCP серверы, то необходимо делать такие страшные извращения описанные вами до того? например тут: On 4/25/2019 at 5:49 PM, YuryD said: Отловить левый dhcp в сегменте(влане) достаточно просто. Включаемся в сегмент с dhcp-клиентом, получаем IP. Идем в инет - видим внешний ip. Если ваш - далее лезем куда-нибудь в свои сервера, которые логгируют соединения, и видим, с какого mac-ip вход. Изменено 27 апреля, 2019 пользователем dvb2000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 29 апреля, 2019 · Жалоба Проблемы по сути две: 1. говнороутер WAN портом в корп-сеть, раздает корп-сеть и инет налево решается: по взрослому - 802.1x от дурачков - port-security, mac-auth совсем костыли - периодически опрашивать свитч на предмет маков на порту, блокировать порт/слать алерт если левые маки 802.1x влечет за собой кучу неизбежного административного гемора 2. говнороутер LAN портом в корп-сети, в добавок к проблемам варианта 1 добавляет еще левывй DHCP решается методами из пункта 1, плюс dhcp-snopping Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 30 апреля, 2019 · Жалоба On 4/29/2019 at 9:26 AM, ShyLion said: 802.1x влечет за собой кучу неизбежного административного гемора 802.1x не только не влечёт за собой кучу неизбежного административного гемора, но ещё и разгребает и избавляет от множества таких куч которые были до его внедрения и развёртывания. И речь не идёт только об обрубании возможности для пользователей тянуть в корпоративную сеть весь свой домашний хлам создающий хаос, и даже не только о на порядок повышение общей сетевой безопасности, а даже о таких аспектах как то что больше не требуется в ручную привязывать нужные виланы к портам доступа, и теперь это всё происходит динамически при помощи соответствующих радиус атрибутов учётной записи. Теперь телефону подключенному в порт коммутатора присваивается соответствующий Voice VLAN, камере присваивается surveillance vlan, а компьютеру или принтеру присваивается VLAN того отдела к которому они относятся. Всё, с нескончаемой ручной настройкой портов доступа теперь покончено и во время переездов из места на место юзер не морочит больше голову. И это только один из примеров о чём идёт речь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 30 апреля, 2019 · Жалоба 9 минут назад, dvb2000 сказал: И это только один из примеров о чём идёт речь. А еще для работы всего этого счастья требуется поддержка и совместимость на уровне сетевого и клиентского оборудования. И с этой поддержкой и совместимостью даже в тепличных условиях энтерпрайза не все бывает ладно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 30 апреля, 2019 · Жалоба 15 минут назад, alibek сказал: И с этой поддержкой и совместимостью даже в тепличных условиях энтерпрайза не все бывает ладно. Например, у Intel AMT с этим все было очень тяжело. Там физически не было возможности подсунуть свой корпоративный сертификат, надо было только публичный, причем из ограниченного списка УЦ. Пришлось делать две конфигурации, со своим сертификатом и с публичным для работы AMT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 30 апреля, 2019 · Жалоба 2 hours ago, dvb2000 said: И это только один из примеров о чём идёт речь. На бумаге он прекрасен, бесспорно :) Учитывая его "популярность" среди админов и не очень, пишут его вендоры на своих говножелезках соразмерно этой самой популярности. В итоге реально работает в очень тепличных условиях после подбора правильных вендоров железа, клиентских ОС, и версий софта, драйверов и прочего. Эджайл, и вот это вот все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 30 апреля, 2019 (изменено) · Жалоба Ну по поводу "популярности" оного. Например в различных ОС от Микрософта, так там например он присутствует повсеместно уже более десяти лет, начиная от Windows 7. Кстати, драйвера к нему отношения не имеют. Про то что во всех дистрибутивах линокса и фрибиэсди то там тоже всё нормально с ним. А по поводу работоспособной его поддержки в разных железяках, так в принтерах разных вендоров он тоже уже десятилетие как присутствует не только в оборудовании Enterprise класса и не только в SMB, но даже в домашних струйных принтомыльницах. О камерах и NVRs я вообще не говорю, там он есть даже в махровой китайщине. А в телефонах, то и подавно. А вот про админов, так среди админов это один из базовых элементов сети, если речь идёт об админах, а не об эникейщиках которые только могут втыкать кабель в розетку. Прилагаются пару скринов от первого попавшего под руку оборудования. Изменено 30 апреля, 2019 пользователем dvb2000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 30 апреля, 2019 · Жалоба 5 hours ago, jffulcrum said: Например, у Intel AMT с этим все было очень тяжело. Там физически не было возможности подсунуть свой корпоративный сертификат, надо было только публичный, причем из ограниченного списка УЦ. Пришлось делать две конфигурации, со своим сертификатом и с публичным для работы AMT. Не ясно при чём тут AMT, но вот в 802.1х так там можно пользоваться не только корпоративным сертификатом, ни и любым self signed. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...