casperrr Опубликовано 6 декабря, 2012 · Жалоба В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети? на данный момент у меня vlan не per user, а per department :) Или трафик до каких-то сервисов в локальной сети? интересует трафик как до сервисов, хотя в малой степени ибо почти все они на linux, а там есть iptables + -j LOG. А так же трафик между вланами и в пределах одного влана. Между вланами тут проблем нет, так как трафик все равно будет проходить через linux, а вот в пределах одного влана (подсети) уже не все так просто. В пределах влан-а или что-то серьезное и дорогое, с поддержкой netflow, или приводить все в итоге к маршрутизации, даже для взаимодействия пользователей в пределах влан-а. Для этого тем или иным способом организовать изоляцию на L2 и локал-прокси-арп на svi интерфейсе маршрутизирующего оборудования. Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а. Per departament - это корпоративная ЛВС? А нафига там разрешать трафик между юзерами? Ну кроме, возможно, подключенных к пользовательским станциям принтеров (лучше так не делать)? Сам сейчас варюсь в корпоративных делах, трафик между юзерами - зло с любой стороны, однозначное табу. И с вирями меньше холопот будет и вообще, порядка больше. Для обмена - файлопомойка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALex_hha Опубликовано 6 декабря, 2012 · Жалоба Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype? Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а ради интереса понаблюдаю Per departament - это корпоративная ЛВС? да А нафига там разрешать трафик между юзерами? а как вы его предлагаете запретить в пределах одной подсети (vlan)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 7 декабря, 2012 (изменено) · Жалоба 2TC, вы переоцениваете масштабы производительности своей сети.... У нас 50 разработчиков сидят на 100Мбит/с портах с общим home/samba на nfs на 1G и трафика честно скажу, там не очень-то... Если * 7 (пусть даже так, чего вряд-ли будет), то получите максимум 1x10GE на центральный узел маршрутизации, хотя я уверен, что у вас там и 4 x 1G не будет... Кроме того... Есть же Cisco 3550-12G, которая чудесно все это сможет отмаршрутизировать в 1U, включая unnumbered и еще NetFlow снимать, ... или TCPDUMP миррорить... В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. Резюмирую: масштабы проблемы переоценены. Значительно. Изменено 7 декабря, 2012 пользователем dignity Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 7 декабря, 2012 · Жалоба Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype? skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен. а как вы его предлагаете запретить в пределах одной подсети (vlan)? Если какой-то влан (в смысле пользователей) живет в пределах одного многопортового свича доступа - да хоть switchport protected. Если влан размазан по оборудованию - приват влан, vlan acl (VACL), port acl (PACL). Это если про изоляцию вообще. Что бы конкретно локал-прокси-арп заработал, изоляция должна быть на L2 в том числе, что бы соседи по влан на арп ответить не могли. 2TC, вы переоцениваете масштабы производительности своей сети.... У нас 50 разработчиков сидят на 100Мбит/с портах с общим home/samba на nfs на 1G и трафика честно скажу, там не очень-то... Если * 7 (пусть даже так, чего вряд-ли будет), то получите максимум 1x10GE на центральный узел маршрутизации, хотя я уверен, что у вас там и 4 x 1G не будет... Кроме того... Есть же Cisco 3550-12G, которая чудесно все это сможет отмаршрутизировать в 1U, включая unnumbered и еще NetFlow снимать, ... или TCPDUMP миррорить... В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. Резюмирую: масштабы проблемы переоценены. Значительно. С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 7 декабря, 2012 · Жалоба С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют. Эм, может и прогнал касательно NF, но порт-миррор точно умеет) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 7 декабря, 2012 · Жалоба Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-аради интереса понаблюдаю Как извратный вариант и для тесту - можно нетфлов сенсор под винду поставить всем (или избранным тестовым жертвам) ndsad (от netUP). Встает как служба, требует винпкап, будет netflow данные вам на коллектор сбрасывать. Сможете на примере какого-нибудь отдела оценить и прикинуть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 7 декабря, 2012 · Жалоба С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют. Эм, может и прогнал касательно NF, но порт-миррор точно умеет) Да, умеет. В том числе RSPAN. Можно по специально выделенному влан-у гнать зеркальный трафик в транке до нужного свича. Только изначальная идея и хотелки бредовые, имхо. В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное. Внешний трафик учесть не проблема, трафик (уж если так хочется) к централизованным корпоративным вещам внутри лвс тоже можно учесть без извратов, хотя бы теми же нетфлов сенсорами на самих серверах. В конце концов, если интерес изначальный обусловлен какими-то инцидентами конкретными и переживаниями в духе как бы у нас кто чего не тогой - ну выделить в отдельные вланы критичных персонажей, зафайрволить их в точке L3-терминации. Или без выделения в персональный влан, теми же PACL или VACL прикрыть + механизмы защиты от спуфинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 7 декабря, 2012 · Жалоба по хорошему вам сюда http://www.endace.com/endace-high-speed-packet-capture-probes.html Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 7 декабря, 2012 · Жалоба по хорошему вам сюда http://www.endace.com/endace-high-speed-packet-capture-probes.html Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики По хорошему надо максимально сузить возможность для нелигитимных хождений, чем потом их пытаться отследить заради любопытства начальства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALex_hha Опубликовано 7 декабря, 2012 · Жалоба В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;) skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен. ага, и внешних клиентов то же на них перевести? Не вариант однозначно. В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. как будут цифры - выложу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gurt Опубликовано 7 декабря, 2012 · Жалоба Ещё объяснять начальству, чтобы не страдало паранойей. У меня возникали предложения сделать такое, и чтобы узнавать всё что куда кто лазил сходу, и красивый интерфейс, и начальство само следило. Я показывал вывод tcpdump с одного коммутатора за пару минут, и wireshark, желание как-то сдувалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 декабря, 2012 · Жалоба это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;) Включить логирование в винде, это пишется в лог безопасности. Но лучше всего найти очень дорогую херню под эту хотелку, чтобы отбить глупое желание. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 8 декабря, 2012 (изменено) · Жалоба 2 на линуксе поднять netflowd (том же самом, что роутер или отдельном) плохая идея. скорее всего, будет терять трафик. ' timestamp='1354762053' post='783094']tcpdump гарантирует. Смотрите RFC по netflow. плохая идея. скорее всего, будет терять трафик. правильный ответ - ipt_netflow. Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype? скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен? Как извратный вариант и для тесту - можно нетфлов сенсор под винду поставить всем (или избранным тестовым жертвам) ndsad (от netUP). Встает как служба, требует винпкап, будет netflow данные вам на коллектор сбрасывать. Сможете на примере какого-нибудь отдела оценить и прикинуть. продвинутые пользователи его деинсталлируют. чуть более продвинутые сгенерируют фейковый netflow. это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;) для этого есть логи на X. skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен. ага, и внешних клиентов то же на них перевести? Не вариант однозначно. почему? сип-клиентов много, если даже работающие из браузера. Изменено 8 декабря, 2012 пользователем ^rage^ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eill Опубликовано 8 декабря, 2012 · Жалоба скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен? осталось заставить само руководство следовать этой корпоративной политике :) идея имхо бредовая, классический случай "xy". для справки: "xy" - это когда надо решить проблему "x", а "y" - это один из неочевидных, но известных человеку вариантов ее решения. Он приходит на форум, спрашивает, как сделать "y", а потом все удивляются, зачем это вообще надо делать, если проблема гораздо лучше и удобнее решается другими способами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 8 декабря, 2012 · Жалоба скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен? осталось заставить само руководство следовать этой корпоративной политике :) Элементарно. Обычно, достаточно показать умение скайпа "просачиваться" через фаерволлы и "фичу" в виде одновременной доставки сообщения на несколько клиентов. Ну и добить недавней уязвимостью с восстановлением пароля. У топикстартера 2 пути: 1)показать железку за много $$ 2)костылить самому. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eill Опубликовано 8 декабря, 2012 · Жалоба тут налицо логическая нестыковка: если бы руководству не было бы пофиг на "просачивание через файрволлы" и уязвимости с восстановлением пароля, то оно не ставило бы ТС таких дебильных задач. ну а если ставит, то это говорит о его совершенной непонятливости в предмете обсуждения. из чего выходит простейшее решение проблемы: развести руками и сказать "ну тут нужна гигажелезяка за стотыщ баксов". Руководство поймет и забудет о задаче через 3 дня. так что во второй части сообщения я с тобой полностью согласен :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALex_hha Опубликовано 8 декабря, 2012 · Жалоба почему? сип-клиентов много, если даже работающие из браузера. думаю вы слышали правило - "клиент ВСЕГДА прав!". Так вот у нас это аксиома, и никто не будет навязыывать клиенту использовать какие-либо программы. Пендосы они такие, знают скайп и фейсбук с твитером :D Включить логирование в винде, это пишется в лог безопасности. там можно настроить логирование на определенный порт? продвинутые пользователи его деинсталлируют. чуть более продвинутые сгенерируют фейковый netflow. ну не так то и просто будет, админа ни у кого из пользователей нет. Ну кроме одной машины с кривым клиент-банком да, и 802.1x у вас настроен? нет, но рассматриваю возможность внедрения Элементарно. Обычно, достаточно показать умение скайпа "просачиваться" через фаерволлы и "фичу" в виде одновременной доставки сообщения на несколько клиентов. Ну и добить недавней уязвимостью с восстановлением пароля. покажите мне программу, которую используют десятки миллионов людей без уязвимостей (да еще и на windows) :D. Так что тут палка о двух концах имхо ;) Я показывал вывод tcpdump с одного коммутатора за пару минут, и wireshark, желание как-то сдувалось. ну совсем не аргумент. А когда они спрашивают, кто и на какие сайты лазил, вы им показываете логи squid в реальном времени? :) из чего выходит простейшее решение проблемы: развести руками и сказать "ну тут нужна гигажелезяка за стотыщ баксов". Руководство поймет и забудет о задаче через 3 дня. вот не факт, что забудет. Может и купить, но тогда и спрос будет соотв-щий (уже были преценденты) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 9 декабря, 2012 · Жалоба я бы предложил закрыть тему... вопрос себя исчерпал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALex_hha Опубликовано 9 декабря, 2012 · Жалоба я бы предложил закрыть тему... вопрос себя исчерпал. пока не стоит, на след неделе постараюсь предоставить цифры по объему трафика на роутере Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 9 декабря, 2012 · Жалоба Информационная безопасность на 60% состоит из административной части. Без этого 40% на технических решениях безполезны. Правда и 60% без 40% техники не работают, но это точно не ваш случай. Поэтому, если вас, или руководство, действительно волнует информационная безопасность, начинайте с процедур и с оценки рисков. Если хочется попробовать какую-то прикольную технологию - делайте, что понравилось. Реальной пользы от этого будет немного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 10 декабря, 2012 · Жалоба В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;) skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен. ага, и внешних клиентов то же на них перевести? Не вариант однозначно. В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. как будут цифры - выложу Или я дурак или лыжи не едут. А как связана проблема общения внутри влан-а с внешними клиентами, пользующимися скайпом? Если все правильно делать - ровно никак. Тот же астериск со скайпом дружить давно стал. В нормальных конторах (которые реально о безопасности пекутся) со скайпом и подобными вещами борются вообще-то. На счет - разрешил в пределах бухгалтетрии, так это опять же вопрос дизайна, централизации сервисов и прочее. Если уж совсем никак это изжить на 100% - ndsad + родной журнал сервиса. Если это накладно, потому что массовое явление - опять же вопросы к дизайну. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALex_hha Опубликовано 11 декабря, 2012 (изменено) · Жалоба Или я дурак или лыжи не едут. А как связана проблема общения внутри влан-а с внешними клиентами, пользующимися скайпом? это две разных проблемы, не знаю почему вы их свели воедино ;) Тот же астериск со скайпом дружить давно стал. В нормальных конторах (которые реально о безопасности пекутся) со скайпом и подобными вещами борются вообще-то. оно уже научилось и по чату общаться? Про голос я знаю, но важен момент и с чатом. Если уж совсем никак это изжить на 100% к сожалению никак. Я хз кто разрабатывал все эти клиент банки, БЕСЗВIТ и т.п. фигню, но за такое надо руки просто отбивать Изменено 11 декабря, 2012 пользователем ALex_hha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...