casperrr Posted December 6, 2012 · Report post В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети? на данный момент у меня vlan не per user, а per department :) Или трафик до каких-то сервисов в локальной сети? интересует трафик как до сервисов, хотя в малой степени ибо почти все они на linux, а там есть iptables + -j LOG. А так же трафик между вланами и в пределах одного влана. Между вланами тут проблем нет, так как трафик все равно будет проходить через linux, а вот в пределах одного влана (подсети) уже не все так просто. В пределах влан-а или что-то серьезное и дорогое, с поддержкой netflow, или приводить все в итоге к маршрутизации, даже для взаимодействия пользователей в пределах влан-а. Для этого тем или иным способом организовать изоляцию на L2 и локал-прокси-арп на svi интерфейсе маршрутизирующего оборудования. Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а. Per departament - это корпоративная ЛВС? А нафига там разрешать трафик между юзерами? Ну кроме, возможно, подключенных к пользовательским станциям принтеров (лучше так не делать)? Сам сейчас варюсь в корпоративных делах, трафик между юзерами - зло с любой стороны, однозначное табу. И с вирями меньше холопот будет и вообще, порядка больше. Для обмена - файлопомойка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ALex_hha Posted December 6, 2012 · Report post Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype? Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а ради интереса понаблюдаю Per departament - это корпоративная ЛВС? да А нафига там разрешать трафик между юзерами? а как вы его предлагаете запретить в пределах одной подсети (vlan)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted December 7, 2012 (edited) · Report post 2TC, вы переоцениваете масштабы производительности своей сети.... У нас 50 разработчиков сидят на 100Мбит/с портах с общим home/samba на nfs на 1G и трафика честно скажу, там не очень-то... Если * 7 (пусть даже так, чего вряд-ли будет), то получите максимум 1x10GE на центральный узел маршрутизации, хотя я уверен, что у вас там и 4 x 1G не будет... Кроме того... Есть же Cisco 3550-12G, которая чудесно все это сможет отмаршрутизировать в 1U, включая unnumbered и еще NetFlow снимать, ... или TCPDUMP миррорить... В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. Резюмирую: масштабы проблемы переоценены. Значительно. Edited December 7, 2012 by dignity Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
casperrr Posted December 7, 2012 · Report post Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype? skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен. а как вы его предлагаете запретить в пределах одной подсети (vlan)? Если какой-то влан (в смысле пользователей) живет в пределах одного многопортового свича доступа - да хоть switchport protected. Если влан размазан по оборудованию - приват влан, vlan acl (VACL), port acl (PACL). Это если про изоляцию вообще. Что бы конкретно локал-прокси-арп заработал, изоляция должна быть на L2 в том числе, что бы соседи по влан на арп ответить не могли. 2TC, вы переоцениваете масштабы производительности своей сети.... У нас 50 разработчиков сидят на 100Мбит/с портах с общим home/samba на nfs на 1G и трафика честно скажу, там не очень-то... Если * 7 (пусть даже так, чего вряд-ли будет), то получите максимум 1x10GE на центральный узел маршрутизации, хотя я уверен, что у вас там и 4 x 1G не будет... Кроме того... Есть же Cisco 3550-12G, которая чудесно все это сможет отмаршрутизировать в 1U, включая unnumbered и еще NetFlow снимать, ... или TCPDUMP миррорить... В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. Резюмирую: масштабы проблемы переоценены. Значительно. С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted December 7, 2012 · Report post С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют. Эм, может и прогнал касательно NF, но порт-миррор точно умеет) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
casperrr Posted December 7, 2012 · Report post Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-аради интереса понаблюдаю Как извратный вариант и для тесту - можно нетфлов сенсор под винду поставить всем (или избранным тестовым жертвам) ndsad (от netUP). Встает как служба, требует винпкап, будет netflow данные вам на коллектор сбрасывать. Сможете на примере какого-нибудь отдела оценить и прикинуть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
casperrr Posted December 7, 2012 · Report post С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют. Эм, может и прогнал касательно NF, но порт-миррор точно умеет) Да, умеет. В том числе RSPAN. Можно по специально выделенному влан-у гнать зеркальный трафик в транке до нужного свича. Только изначальная идея и хотелки бредовые, имхо. В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное. Внешний трафик учесть не проблема, трафик (уж если так хочется) к централизованным корпоративным вещам внутри лвс тоже можно учесть без извратов, хотя бы теми же нетфлов сенсорами на самих серверах. В конце концов, если интерес изначальный обусловлен какими-то инцидентами конкретными и переживаниями в духе как бы у нас кто чего не тогой - ну выделить в отдельные вланы критичных персонажей, зафайрволить их в точке L3-терминации. Или без выделения в персональный влан, теми же PACL или VACL прикрыть + механизмы защиты от спуфинга. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chocholl Posted December 7, 2012 · Report post по хорошему вам сюда http://www.endace.com/endace-high-speed-packet-capture-probes.html Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
casperrr Posted December 7, 2012 · Report post по хорошему вам сюда http://www.endace.com/endace-high-speed-packet-capture-probes.html Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики По хорошему надо максимально сузить возможность для нелигитимных хождений, чем потом их пытаться отследить заради любопытства начальства. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ALex_hha Posted December 7, 2012 · Report post В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;) skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен. ага, и внешних клиентов то же на них перевести? Не вариант однозначно. В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. как будут цифры - выложу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
gurt Posted December 7, 2012 · Report post Ещё объяснять начальству, чтобы не страдало паранойей. У меня возникали предложения сделать такое, и чтобы узнавать всё что куда кто лазил сходу, и красивый интерфейс, и начальство само следило. Я показывал вывод tcpdump с одного коммутатора за пару минут, и wireshark, желание как-то сдувалось. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted December 8, 2012 · Report post это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;) Включить логирование в винде, это пишется в лог безопасности. Но лучше всего найти очень дорогую херню под эту хотелку, чтобы отбить глупое желание. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
^rage^ Posted December 8, 2012 (edited) · Report post 2 на линуксе поднять netflowd (том же самом, что роутер или отдельном) плохая идея. скорее всего, будет терять трафик. ' timestamp='1354762053' post='783094']tcpdump гарантирует. Смотрите RFC по netflow. плохая идея. скорее всего, будет терять трафик. правильный ответ - ipt_netflow. Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype? скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен? Как извратный вариант и для тесту - можно нетфлов сенсор под винду поставить всем (или избранным тестовым жертвам) ndsad (от netUP). Встает как служба, требует винпкап, будет netflow данные вам на коллектор сбрасывать. Сможете на примере какого-нибудь отдела оценить и прикинуть. продвинутые пользователи его деинсталлируют. чуть более продвинутые сгенерируют фейковый netflow. это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;) для этого есть логи на X. skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен. ага, и внешних клиентов то же на них перевести? Не вариант однозначно. почему? сип-клиентов много, если даже работающие из браузера. Edited December 8, 2012 by ^rage^ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eill Posted December 8, 2012 · Report post скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен? осталось заставить само руководство следовать этой корпоративной политике :) идея имхо бредовая, классический случай "xy". для справки: "xy" - это когда надо решить проблему "x", а "y" - это один из неочевидных, но известных человеку вариантов ее решения. Он приходит на форум, спрашивает, как сделать "y", а потом все удивляются, зачем это вообще надо делать, если проблема гораздо лучше и удобнее решается другими способами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
^rage^ Posted December 8, 2012 · Report post скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен? осталось заставить само руководство следовать этой корпоративной политике :) Элементарно. Обычно, достаточно показать умение скайпа "просачиваться" через фаерволлы и "фичу" в виде одновременной доставки сообщения на несколько клиентов. Ну и добить недавней уязвимостью с восстановлением пароля. У топикстартера 2 пути: 1)показать железку за много $$ 2)костылить самому. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eill Posted December 8, 2012 · Report post тут налицо логическая нестыковка: если бы руководству не было бы пофиг на "просачивание через файрволлы" и уязвимости с восстановлением пароля, то оно не ставило бы ТС таких дебильных задач. ну а если ставит, то это говорит о его совершенной непонятливости в предмете обсуждения. из чего выходит простейшее решение проблемы: развести руками и сказать "ну тут нужна гигажелезяка за стотыщ баксов". Руководство поймет и забудет о задаче через 3 дня. так что во второй части сообщения я с тобой полностью согласен :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ALex_hha Posted December 8, 2012 · Report post почему? сип-клиентов много, если даже работающие из браузера. думаю вы слышали правило - "клиент ВСЕГДА прав!". Так вот у нас это аксиома, и никто не будет навязыывать клиенту использовать какие-либо программы. Пендосы они такие, знают скайп и фейсбук с твитером :D Включить логирование в винде, это пишется в лог безопасности. там можно настроить логирование на определенный порт? продвинутые пользователи его деинсталлируют. чуть более продвинутые сгенерируют фейковый netflow. ну не так то и просто будет, админа ни у кого из пользователей нет. Ну кроме одной машины с кривым клиент-банком да, и 802.1x у вас настроен? нет, но рассматриваю возможность внедрения Элементарно. Обычно, достаточно показать умение скайпа "просачиваться" через фаерволлы и "фичу" в виде одновременной доставки сообщения на несколько клиентов. Ну и добить недавней уязвимостью с восстановлением пароля. покажите мне программу, которую используют десятки миллионов людей без уязвимостей (да еще и на windows) :D. Так что тут палка о двух концах имхо ;) Я показывал вывод tcpdump с одного коммутатора за пару минут, и wireshark, желание как-то сдувалось. ну совсем не аргумент. А когда они спрашивают, кто и на какие сайты лазил, вы им показываете логи squid в реальном времени? :) из чего выходит простейшее решение проблемы: развести руками и сказать "ну тут нужна гигажелезяка за стотыщ баксов". Руководство поймет и забудет о задаче через 3 дня. вот не факт, что забудет. Может и купить, но тогда и спрос будет соотв-щий (уже были преценденты) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted December 9, 2012 · Report post я бы предложил закрыть тему... вопрос себя исчерпал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ALex_hha Posted December 9, 2012 · Report post я бы предложил закрыть тему... вопрос себя исчерпал. пока не стоит, на след неделе постараюсь предоставить цифры по объему трафика на роутере Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergeiK Posted December 9, 2012 · Report post Информационная безопасность на 60% состоит из административной части. Без этого 40% на технических решениях безполезны. Правда и 60% без 40% техники не работают, но это точно не ваш случай. Поэтому, если вас, или руководство, действительно волнует информационная безопасность, начинайте с процедур и с оценки рисков. Если хочется попробовать какую-то прикольную технологию - делайте, что понравилось. Реальной пользы от этого будет немного. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
casperrr Posted December 10, 2012 · Report post В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;) skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен. ага, и внешних клиентов то же на них перевести? Не вариант однозначно. В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. как будут цифры - выложу Или я дурак или лыжи не едут. А как связана проблема общения внутри влан-а с внешними клиентами, пользующимися скайпом? Если все правильно делать - ровно никак. Тот же астериск со скайпом дружить давно стал. В нормальных конторах (которые реально о безопасности пекутся) со скайпом и подобными вещами борются вообще-то. На счет - разрешил в пределах бухгалтетрии, так это опять же вопрос дизайна, централизации сервисов и прочее. Если уж совсем никак это изжить на 100% - ndsad + родной журнал сервиса. Если это накладно, потому что массовое явление - опять же вопросы к дизайну. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ALex_hha Posted December 11, 2012 (edited) · Report post Или я дурак или лыжи не едут. А как связана проблема общения внутри влан-а с внешними клиентами, пользующимися скайпом? это две разных проблемы, не знаю почему вы их свели воедино ;) Тот же астериск со скайпом дружить давно стал. В нормальных конторах (которые реально о безопасности пекутся) со скайпом и подобными вещами борются вообще-то. оно уже научилось и по чату общаться? Про голос я знаю, но важен момент и с чатом. Если уж совсем никак это изжить на 100% к сожалению никак. Я хз кто разрабатывал все эти клиент банки, БЕСЗВIТ и т.п. фигню, но за такое надо руки просто отбивать Edited December 11, 2012 by ALex_hha Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...