Strona 1 z 1

CISCO: zabezpieczenie się przed obcym Internetem

: 12 kwie 2019, 11:19
autor: nikeon
Hej,

Chciałbym się Was poradzić jak możemy zabezpieczyć się przed próbą chcianego, lub przypadkowego udostępnienia Internetu.
Na zasadzie..

Port UPLINK-owy jest gi 1/1
Reszta portów Fe 1/1-24 - to porty klienckie.

Jeden z klientów na Fe 1/10 wpina swój router, który raz:
- jest źle wpięty i rozsyła dhcp-em
- klient na swoim komputerze włączył przypadkiem udostępnianie internetu

Jedną z metod ochrony przed obcym dhcp-em, to (DHCP SNOOPING - trust na uplinku), a przed drugim źródłem sieci? - chodzi mi po głowie root-guard, ale nie jestem pewien w jakiej konfiguracji.

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 12 kwie 2019, 13:13
autor: Kyniu
802.1x, port security, shutdown nieużywanych portów, ......... słowem klasyczny zestaw.

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 12 kwie 2019, 14:25
autor: nikeon
Kyniu pisze: 12 kwie 2019, 13:13 802.1x, port security, shutdown nieużywanych portów, ......... słowem klasyczny zestaw.
A co ma shutdown nieużywanych portów, do używanego portu na którym występuje konflikt (klient)?
port security też tu nijak się ma, bo konflikt rozpoczyna urządzenie o "zarejestrowanym" mac-ku.
802.1x - jest, niemniej nadal nie jest pomocny, bo klient powodujący konflikt jest zautoryzowany..

I jak się ma klasyczny zestaw do takiej sytuacji?

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 12 kwie 2019, 14:53
autor: saiqard
Jeśli klient włączy udostępnianie internetu, to i tak musi być bramą dla pozostałych hostów żęby przez niego dostały się do internetu. bez dhcp albo ręcznej konfiguracji tego nie zrobią :)

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 12 kwie 2019, 15:36
autor: Kyniu
nikeon pisze: 12 kwie 2019, 14:25 port security też tu nijak się ma, bo konflikt rozpoczyna urządzenie o "zarejestrowanym" mac-ku.
Jakim cudem?
nikeon pisze: 12 kwie 2019, 14:25 802.1x - jest, niemniej nadal nie jest pomocny, bo klient powodujący konflikt jest zautoryzowany..
Jakim cudem?

Aaaaaa, dałeś mu prawa admina na kompie ("klient na swoim komputerze włączył przypadkiem udostępnianie internetu"), no to masz odpowiedź.

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 12 kwie 2019, 18:06
autor: drozdov
Na poczatku za pomoca DHCP snooping butujesz sobie baze danych:
mac - ip - port - vlan
nastepnie wlaczasz dynamic arp inspection.

To spowoduje ze obronisz sie przed przed falszywymi odpowiedziami ARP od stacji - w tym o brame domyslna (czyli jak stacja z "obcym" internetem bedzie chciala sie podszyc pod brame).
Jezeli chodzi o scenariusz ze ktos sam zmienia sobie IP bramy domyslnej po pobraniu adresu DHCP to raczej problem jest z uprawnieniami na hoscie i raczej niewiele z tym mozna zrobic dotykajac tematu jedynie na przelaczniku.

lbromirs mial doskonana prezentacje na temat L2/L3 security w LAN jakis dlugi czas temu. Moze gdzies jeszcze egzystuje w Internetach.

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 12 kwie 2019, 18:41
autor: drake
Moznaby dorzucic jeszcze private vlans i zablokowac komunikacje wewnatrz vlanu miedzy portami (isolated), zezwalajac na wyjcie tylko przez port promiscous.

Taka troche paranoja, lepiej uzgodnic z mgmt i wdrozyc polityke bezpieczenstwa IT w firmie, uswiadamiajac pracownikow.

Pozdruffka! :)

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 12 kwie 2019, 18:56
autor: psles
to już faktycznie byłaby trochę paranoja, ale zestaw DHCP snooping, port security, Dynamic ARP inspection, 802.1x, shutdown nieużywanych portów to chyba najlepszy zestaw w tej sytuacji. Faktycznie nie obroni Cię to przed udostępnianiem Internetu z konkretnego hosta, ale ograniczy to udostępnianie do tylko tego jednego hosta, bo bez obcego DHCP pozostali będą nadal korzystali tylko z Twojej bramki.

A jeśli już musisz dać userowi admin right na stacji, to ogranicz przynajmniej niektóre funkcje z AD (jeśli takie masz). Jak nie, to local policy, żeby tylko Administrator mógł włączyć internet sharing, a nie cała grupa (bo zakładam, że user korzysta ze swojego loginu, a tylko ma przyznane admin rights, czyli jest w grupie Administrators).

Miłego!

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 13 kwie 2019, 17:47
autor: PatrykW
Polityka bezpieczenstwa, oraz wewn szkolenia eliminuja takie twory.
Zrob audyt w swojej organizacji.

Re: CISCO: zabezpieczenie się przed obcym Internetem

: 14 kwie 2019, 01:14
autor: konradrz
A ja myślę że przedmówcy chodzi o co innego (ale mogłem nie zrozumieć pytania :)
Że "mam interneta całkiem dobrego (taki "trzepakowy provider"), i pod-sprzedaję* go dwudziesu gostkom. i nie chcę, żeby "oni dalej udostępniali" (ergo, MAC będzie jeden, tylko NATy PATy szmaty).
W skrócie - nie jest to wtedy trywialne, trzeba by się bawić w OS-fingerprinting itd. Nie warto. Wtedy lepiej shaping zrobić - jak klient A chce dać swoje pasmo klientom XYZ - co szkodzi.

* choćby i za darmo. W sensie, "mata chłopaki, ale mię nie róbta w walona".