anatoly Опубликовано 18 апреля, 2019 · Жалоба Вопрос: можно ли стандартными средствами коммутатора Cisco или Huawei-HI выделить трафик пришедший из-за NATa? Первым в голову приходит проверка ttl, конечно, но на циске этого, как я понял, не сделать. есть ли другие пути? или может хуавей это может? Я не злодей из ISP, запрещающий роутеры:)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 апреля, 2019 · Жалоба Проверка по TTL ненадежная и неточная. Обычно анализируют профиль трафика, количество и характер соединений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 18 апреля, 2019 · Жалоба 2 минуты назад, alibek сказал: Проверка по TTL ненадежная и неточная. Обычно анализируют профиль трафика, количество и характер соединений. это понятно, что на устройстве с НАТом может быть всякое, в том числе и изменение ттл как ему хочется. но анализ профиля трафика и тд - это не к коммутатору. а хотелось бы решить именно им. анализ ттл выглядит как вариант Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 апреля, 2019 · Жалоба Думаю, что на коммутаторе доступа это вообще не решается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 18 апреля, 2019 · Жалоба Только что, alibek сказал: Думаю, что на коммутаторе доступа это вообще не решается. ну про коммутатор доступа я не говорил. есть на пути 3560 c каким хочешь софтом. с нее можно на Huawei S5720-56C-HI трафик завернуть (на него и самые большие надежды) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 19 апреля, 2019 · Жалоба Зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 19 апреля, 2019 · Жалоба 1 час назад, ShyLion сказал: Зачем? +++ Думаю кто-то врем "Я не злодей из ISP, запрещающий роутеры:))" а за такое надо линейкой по рукам бить до полной потери пульса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anatoly Опубликовано 19 апреля, 2019 · Жалоба 53 минуты назад, myst сказал: +++ Думаю кто-то врем "Я не злодей из ISP, запрещающий роутеры:))" а за такое надо линейкой по рукам бить до полной потери пульса. за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 19 апреля, 2019 · Жалоба 9 минут назад, anatoly сказал: за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам 1) Зачем запрещать роутеры? 2) это делается другими механизмами например. 3) заставить почти любой роутер не менять ТТЛ как два пальца обоссать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 19 апреля, 2019 · Жалоба Уважаемый Анатолий. Я уже давно не работаю в энтерпрайзе, однако, в бытность мою сисадмином предприятия, самым эффективным способом решения подобных проблем было следующее: 1) В регламент ИТ (или как оно у вас называется) вносится необходимая поправка/запрет. 2) Так или иначе изменение доводится до сотрудников. 3) Выявляется нарушитель, и производится показательная казнь. 4) Профит. Пункт 3 можно повторить еще пару раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 19 апреля, 2019 · Жалоба 34 минуты назад, anatoly сказал: за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? Во-первых, нужно не запрещать что-то, а разрешать. Т.е. на коммутаторах доступа настроить port-security. Во-вторых зачем люди втыкают роутеры - для вайфая что ли? Поставьте свои ТД и раздавайте нахаляву своим-то сотрудникам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 19 апреля, 2019 · Жалоба 41 minutes ago, anatoly said: за то что в сети предприятия хочу запретить втыкать принесенные из дома маршрутизаторы? ну да, конечно сразу по рукам port-security, 802.1x, dhcp-snooping последнее просто маст-хэв и решает основной головняк от домашнего роутера в сети - левый DHCP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 апреля, 2019 · Жалоба Да проще всё. Запоминаем на каких портах какие маки, а дальше если левый мак пришёл с порта - алерт/блокировка. В принципе наверное 802.1х можно под это настроить, чтобы с паролем не приставал к конечникам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 20 апреля, 2019 · Жалоба @Ivan_83 Это ненадолго, в любом домашнем роутере есть кнопка clone MAC, и многие с ней дома знакомы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 апреля, 2019 · Жалоба Ну ок, в PF есть fingerprints для детекта ОС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 21 апреля, 2019 · Жалоба У вас настолько бедственное положение что сотрудники носят свои рутеры на работу? С какой целью вы там присутсвуете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 21 апреля, 2019 · Жалоба 9 hours ago, Ivan_83 said: Ну ок, в PF есть fingerprints для детекта ОС. Речь ведь о коммутаторах. В котором из таковых существует PF , который обычно модуль из FreeBSD ? Был уже дан простой и верный ответ: "802.1x, dhcp-snooping". Это стандартное и универсальное решение и незачем изобретать велосипед там где он не проедет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 апреля, 2019 · Жалоба В 21.04.2019 в 10:43, dvb2000 сказал: Был уже дан простой и верный ответ: "802.1x, dhcp-snooping" 802.1x - это защита от чужих. дхцп снупинг вообще не в тему. Если венда не в домене и учётка не юзверская + ещё пачка мер то это всё бесполезно, юзер 802.1х в роутере подымет, или вставит вифи свисток, подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 23 апреля, 2019 · Жалоба 14 hours ago, Ivan_83 said: 802.1x - это защита от чужих. дхцп снупинг вообще не в тему. Если венда не в домене и учётка не юзверская + ещё пачка мер то это всё бесполезно, юзер 802.1х в роутере подымет, или вставит вифи свисток, подымет в виртуалбоксе виртуалку и оттуда сделает виртуальны вифи роутер, который всё будет натить. Коллега, 99% что проблема домашнего роутера в сети не в том что через него кто-то там в инет пойдет, а в том что его DHCP создаст хаос в сети. Если у пользователей нет админских прав, они не смогут на рабочих машинах выставить адрес/шлюз вручную, а снупинг не даст получить адрес с говнороутера. Вопросы сферической в вакууме информационной безопасности конечно существуют, но решать их нужно не только и не столько техническими средствами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 23 апреля, 2019 · Жалоба 19 минут назад, ShyLion сказал: Если у пользователей нет админских прав, они не смогут на рабочих машинах выставить адрес/шлюз вручную, а снупинг не даст получить адрес с говнороутера. В разрыв ставится говнороутер... Вобщем вариантов масса. 19 минут назад, ShyLion сказал: Вопросы сферической в вакууме информационной безопасности конечно существуют, но решать их нужно не только и не столько техническими средствами. +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 23 апреля, 2019 · Жалоба Еще возможно, что у топикстартера пользователи ставят домашний роутер WAN концом в сеть и раздают вифи на мобильнички. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 23 апреля, 2019 · Жалоба @ShyLion О_о вау КЭП еще с первого поста было понятно. ТС чтобы так глубоко заглядывать в трафик скорее потребуются вещи типа межсетевого экрана asa cisco, но это дорого. Как вариант ограничить доступ до ресурсов, которые используют мобильные устройства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 23 апреля, 2019 · Жалоба 1 час назад, ShyLion сказал: Коллега, 99% что проблема домашнего роутера в сети не в том что через него кто-то там в инет пойдет, а в том что его DHCP создаст хаос в сети. Каким образом? Если его воткнуть WAN-портом, то ничего плохого не будет, а если LAN - то TTL и прочее безобразие тут не поможет, т.к. он будет работать как тупой свич. Во втором случае как раз ACL и port security нужны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 23 апреля, 2019 · Жалоба Если там все так тяжело, прикрутите dot1x, чо думать то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 апреля, 2019 · Жалоба 802.1x вообще ничем не поможет, если прикрутить только его. Это только часть единой политики, которая должна быть разработана и внедрена. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...