CISCO: zabezpieczenie się przed obcym Internetem
CISCO: zabezpieczenie się przed obcym Internetem
Hej,
Chciałbym się Was poradzić jak możemy zabezpieczyć się przed próbą chcianego, lub przypadkowego udostępnienia Internetu.
Na zasadzie..
Port UPLINK-owy jest gi 1/1
Reszta portów Fe 1/1-24 - to porty klienckie.
Jeden z klientów na Fe 1/10 wpina swój router, który raz:
- jest źle wpięty i rozsyła dhcp-em
- klient na swoim komputerze włączył przypadkiem udostępnianie internetu
Jedną z metod ochrony przed obcym dhcp-em, to (DHCP SNOOPING - trust na uplinku), a przed drugim źródłem sieci? - chodzi mi po głowie root-guard, ale nie jestem pewien w jakiej konfiguracji.
Chciałbym się Was poradzić jak możemy zabezpieczyć się przed próbą chcianego, lub przypadkowego udostępnienia Internetu.
Na zasadzie..
Port UPLINK-owy jest gi 1/1
Reszta portów Fe 1/1-24 - to porty klienckie.
Jeden z klientów na Fe 1/10 wpina swój router, który raz:
- jest źle wpięty i rozsyła dhcp-em
- klient na swoim komputerze włączył przypadkiem udostępnianie internetu
Jedną z metod ochrony przed obcym dhcp-em, to (DHCP SNOOPING - trust na uplinku), a przed drugim źródłem sieci? - chodzi mi po głowie root-guard, ale nie jestem pewien w jakiej konfiguracji.
Re: CISCO: zabezpieczenie się przed obcym Internetem
802.1x, port security, shutdown nieużywanych portów, ......... słowem klasyczny zestaw.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Re: CISCO: zabezpieczenie się przed obcym Internetem
A co ma shutdown nieużywanych portów, do używanego portu na którym występuje konflikt (klient)?
port security też tu nijak się ma, bo konflikt rozpoczyna urządzenie o "zarejestrowanym" mac-ku.
802.1x - jest, niemniej nadal nie jest pomocny, bo klient powodujący konflikt jest zautoryzowany..
I jak się ma klasyczny zestaw do takiej sytuacji?
Re: CISCO: zabezpieczenie się przed obcym Internetem
Jeśli klient włączy udostępnianie internetu, to i tak musi być bramą dla pozostałych hostów żęby przez niego dostały się do internetu. bez dhcp albo ręcznej konfiguracji tego nie zrobią
PCNSA PCNSE JNCIP-DC JNCDA JNCIA-SEC JNCIA-JUNOS JNCIA-CLOUD CCNA-RS
Re: CISCO: zabezpieczenie się przed obcym Internetem
Jakim cudem?
Jakim cudem?
Aaaaaa, dałeś mu prawa admina na kompie ("klient na swoim komputerze włączył przypadkiem udostępnianie internetu"), no to masz odpowiedź.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/
Re: CISCO: zabezpieczenie się przed obcym Internetem
Na poczatku za pomoca DHCP snooping butujesz sobie baze danych:
mac - ip - port - vlan
nastepnie wlaczasz dynamic arp inspection.
To spowoduje ze obronisz sie przed przed falszywymi odpowiedziami ARP od stacji - w tym o brame domyslna (czyli jak stacja z "obcym" internetem bedzie chciala sie podszyc pod brame).
Jezeli chodzi o scenariusz ze ktos sam zmienia sobie IP bramy domyslnej po pobraniu adresu DHCP to raczej problem jest z uprawnieniami na hoscie i raczej niewiele z tym mozna zrobic dotykajac tematu jedynie na przelaczniku.
lbromirs mial doskonana prezentacje na temat L2/L3 security w LAN jakis dlugi czas temu. Moze gdzies jeszcze egzystuje w Internetach.
mac - ip - port - vlan
nastepnie wlaczasz dynamic arp inspection.
To spowoduje ze obronisz sie przed przed falszywymi odpowiedziami ARP od stacji - w tym o brame domyslna (czyli jak stacja z "obcym" internetem bedzie chciala sie podszyc pod brame).
Jezeli chodzi o scenariusz ze ktos sam zmienia sobie IP bramy domyslnej po pobraniu adresu DHCP to raczej problem jest z uprawnieniami na hoscie i raczej niewiele z tym mozna zrobic dotykajac tematu jedynie na przelaczniku.
lbromirs mial doskonana prezentacje na temat L2/L3 security w LAN jakis dlugi czas temu. Moze gdzies jeszcze egzystuje w Internetach.
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu
Re: CISCO: zabezpieczenie się przed obcym Internetem
Moznaby dorzucic jeszcze private vlans i zablokowac komunikacje wewnatrz vlanu miedzy portami (isolated), zezwalajac na wyjcie tylko przez port promiscous.
Taka troche paranoja, lepiej uzgodnic z mgmt i wdrozyc polityke bezpieczenstwa IT w firmie, uswiadamiajac pracownikow.
Pozdruffka!
Taka troche paranoja, lepiej uzgodnic z mgmt i wdrozyc polityke bezpieczenstwa IT w firmie, uswiadamiajac pracownikow.
Pozdruffka!
Re: CISCO: zabezpieczenie się przed obcym Internetem
to już faktycznie byłaby trochę paranoja, ale zestaw DHCP snooping, port security, Dynamic ARP inspection, 802.1x, shutdown nieużywanych portów to chyba najlepszy zestaw w tej sytuacji. Faktycznie nie obroni Cię to przed udostępnianiem Internetu z konkretnego hosta, ale ograniczy to udostępnianie do tylko tego jednego hosta, bo bez obcego DHCP pozostali będą nadal korzystali tylko z Twojej bramki.
A jeśli już musisz dać userowi admin right na stacji, to ogranicz przynajmniej niektóre funkcje z AD (jeśli takie masz). Jak nie, to local policy, żeby tylko Administrator mógł włączyć internet sharing, a nie cała grupa (bo zakładam, że user korzysta ze swojego loginu, a tylko ma przyznane admin rights, czyli jest w grupie Administrators).
Miłego!
A jeśli już musisz dać userowi admin right na stacji, to ogranicz przynajmniej niektóre funkcje z AD (jeśli takie masz). Jak nie, to local policy, żeby tylko Administrator mógł włączyć internet sharing, a nie cała grupa (bo zakładam, że user korzysta ze swojego loginu, a tylko ma przyznane admin rights, czyli jest w grupie Administrators).
Miłego!
.ılı..ılı.
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: CISCO: zabezpieczenie się przed obcym Internetem
Polityka bezpieczenstwa, oraz wewn szkolenia eliminuja takie twory.
Zrob audyt w swojej organizacji.
Zrob audyt w swojej organizacji.
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: CISCO: zabezpieczenie się przed obcym Internetem
A ja myślę że przedmówcy chodzi o co innego (ale mogłem nie zrozumieć pytania :)
Że "mam interneta całkiem dobrego (taki "trzepakowy provider"), i pod-sprzedaję* go dwudziesu gostkom. i nie chcę, żeby "oni dalej udostępniali" (ergo, MAC będzie jeden, tylko NATy PATy szmaty).
W skrócie - nie jest to wtedy trywialne, trzeba by się bawić w OS-fingerprinting itd. Nie warto. Wtedy lepiej shaping zrobić - jak klient A chce dać swoje pasmo klientom XYZ - co szkodzi.
* choćby i za darmo. W sensie, "mata chłopaki, ale mię nie róbta w walona".
Że "mam interneta całkiem dobrego (taki "trzepakowy provider"), i pod-sprzedaję* go dwudziesu gostkom. i nie chcę, żeby "oni dalej udostępniali" (ergo, MAC będzie jeden, tylko NATy PATy szmaty).
W skrócie - nie jest to wtedy trywialne, trzeba by się bawić w OS-fingerprinting itd. Nie warto. Wtedy lepiej shaping zrobić - jak klient A chce dać swoje pasmo klientom XYZ - co szkodzi.
* choćby i za darmo. W sensie, "mata chłopaki, ale mię nie róbta w walona".