Wdrożenie port security

Problemy związane ze switchingiem
Wiadomość
Autor
mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Wdrożenie port security

#1

#1 Post autor: mhuba »

Hej

Mam takie pytanko, na części portów na przełącznikach mamy uruchomić port security sticky zeby przypisać PC z telefonami do portu na stale.
Do przełącznika będzie podłączony telefon Cisco + do telefonu PC.
Myslicie ze max 2 mac adresy beda ok? Robie jakies tam wstepne testy i niby dziala, ale wszedzie gdzie widze jakies dokumentacje etc to jest czesto podane "3".
Tam jakos nie ma ekstra jakiegos MACa ekstra z przełącznika? Bezpiecznie jest mieć wpisane "2"?

Kod: Zaznacz cały

switchport port-security maximum 2
switchport port-security
switchport port-security mac-address sticky
Pzdr
mHuba

double.decode
wannabe
wannabe
Posty: 321
Rejestracja: 15 kwie 2009, 18:31

Re: Wdrożenie port security

#2

#2 Post autor: double.decode »

Na marginesie - jakieś VM na tych komputerach?

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Wdrożenie port security

#3

#3 Post autor: mhuba »

Raczej nie, dostep do PC z tego co wiem jest mocno ograniczony dla end usera, nie można nic instalować, mail, przeglądarka, citrix, sccm to wszystko co tam jest.

kurđ
wannabe
wannabe
Posty: 226
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: Wdrożenie port security

#4

#4 Post autor: kurđ »

Na drugim marginesie : uważaj na Mac-i, te z jabłkiem. Przez różne przejściówki thunderbolt-y itp. Potrafią ogłaszać dodatkowe adresy Mac.

Klatapat

MfG
Kurđ

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: Wdrożenie port security

#5

#5 Post autor: konradrz »

O ile mnie pamięć nie myli, te 3 adresy to było "bo telefon zabierze dwa wpisy" (jeden data vlan, drugi voice vlan). Ale to mogła być zamierzchła przeszłość (skoro działa przy limicie 2).

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: Wdrożenie port security

#6

#6 Post autor: judge dredd »

Cześć,

Była już gdzieś tutaj kiedyś podobna dyskusja i wtedy też pojawiła się informacja, że powinno się dać minimum 3 mac'ki dozwolone na porcie, ale powiem szczerze, że miałem kiedyś sporą infrastrukturę z port security i z telefonami cisco i pamiętam dokładnie, że wpisywałem zawsze "max 2" i działało bardzo dobrze. Switche to były 3560 w różnych opcjach, a telefony głównie 7911. Nigdy mi się nie zdarzyło, żeby nastąpiło psecure-violation przy takim ustawieniu i podłączeniu switch-tel-komp bez oczywistego naruszenia polityki.

Pozdrawiam!

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#7

#7 Post autor: RiFF »

Sugeruję 3 mac adresy ponieważ zdarza się że telefon podczas przełączania się z data vlanu do voice vlanu przez chwilę bywa widoczny w data vlanie wtedy razem z kompem mamy 3 adresy i następuje psecure-violation . Takie krzaki zdarzały się z telefonami Avaya , nie pamiętam czy na Cisco miałem taki przypadek. Możesz też zrobić taki wpis dla spokoju sumienia ;)

switchport port-security maximum 2 vlan access
switchport port-security maximum 1 vlan voice

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Wdrożenie port security

#8

#8 Post autor: mhuba »

No wałaśnie nie wiem, na 2 działa i wyglądał ok.
Ustawie 3 ale to będzie dziura w setupie, bo nawet jesli wstawie cos takiego:

Kod: Zaznacz cały

switchport port-security maximum 2 vlan access
switchport port-security maximum 1 vlan voice
to znaczy ze do access vlanu i tak mozemy wpiąć drugi PC poza tym trusted.
Tego chyba nie chcemy?

hm

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#9

#9 Post autor: RiFF »

Chcesz za pomocą port-security zarządzać dostępem do sieci ? To nie do tego służy . Port-security ma obronić przed cam table overflow , konfiguracja z mac-address sticky może się sprawdzić tylko w przypadku gdy masz stanowiska z desktopami i stacje nie migrują. W przypadku mobilnych userów to się nie sprawdza (aczkolwiek można wtedy użyć switchport port-security aging time) . Jeśli chcesz zabezpieczyć dostęp do sieci na poziomie accessu to trzeba pomyśleć 802.1x , do uwierzytelnienia można użyć choćby NPS z WinSrv . Przykład który podałem ma rozwiązać ew problemy z działaniem samego port-security , traktowanie tego jako dziury zależy od środowiska które mamy / chcemy wdrożyć .

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Wdrożenie port security

#10

#10 Post autor: mhuba »

Przecież napisałem wyraźnie że chce przyspawać telefon z PC na stale do portu.

Pzdr
hm

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#11

#11 Post autor: RiFF »

Jasne, a Ja odpisałem dlaczego powinno używać się 3 adresów - zarówno telefon i PC zostaną do portu przypisane . I nie traktuję tego jako dziury bo z mojego punktu nie jest to wystarczające zabezpieczenie ( co za problem przepisać sobie mac z telefonu np. do VM ) . Dla mnie to po prostu kwestia skali pojawiającego się problemu. Jeśli masz kilka tysięcy telefonów i Helpdesk co jakiś czas zgłasza Ci że jest psecure-violation na porcie to znaczy że 2 adresy jednak średnio się sprawdzają.

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Wdrożenie port security

#12

#12 Post autor: mhuba »

RiFF pisze: 10 cze 2019, 12:51 I nie traktuję tego jako dziury bo z mojego punktu nie jest to wystarczające zabezpieczenie ( co za problem przepisać sobie mac z telefonu np. do VM ).
Problem jest duży żeby coś takiego zrobić, end user ma dostęp tylko do kilku narzędzi, pisałem o tym wcześniej.
Nie może nic instalować ani grzebać w systemie, ma dostęp raptem do 3-4 narzędzi (IE, Citrix i coś tam jeszcze).
RiFF pisze: 10 cze 2019, 12:51 Dla mnie to po prostu kwestia skali pojawiającego się problemu. Jeśli masz kilka tysięcy telefonów i Helpdesk co jakiś czas zgłasza Ci że jest psecure-violation na porcie to znaczy że 2 adresy jednak średnio się sprawdzają.
Właśnie próbuje się dowiedzieć jaka jest praktyka, dlaczego w wielu dostępnych materiałach jest "3".
Czy ktoś ma to u siebie w sieci, czy ma 2 czy ma 3?
Czy jeśli miał 2 miał jakieś problemy.
"3" jest dla mnie bez sensu, bo ciągle nie zabezpiecza przed możliwością podpięcia innego PC przez end usera.
Wstawienie 3 tak na wszelki wypadek to de facto umożliwienie end userowi dalej podpiecia tego na co ma ochotę.

Ok, wstawie 2, uruchomie na 10 portach i niech się testuje.

Pzdr
hm

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#13

#13 Post autor: RiFF »

Zwykły end-user raczej nie robi takich trików jak zmiana mac adresu czy używanie VM bo jest właśnie 'zwykły' ;) . To kombinatorzy lubią podłączyć dodatkowy komputer / router czy podmienić adres na swoim priv laptopie i przed nimi należy się bronić . Jeszcze inną kwestią są jacyś szemrani pracownicy firm trzecich (sprzątaczki / malarze / budowlańcy itp) , dlatego wspomniałem o 802.1x bo tylko w taki sposób zabezpieczysz dostęp do accessu , port-security nie rozwiąże tego problemu . Wracając do głównego tematu jeśli masz większą liczbę telefonów Cisco to daj znać po wdrożeniu czy na 2 mac adresach dają radę ;)

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Wdrożenie port security

#14

#14 Post autor: mhuba »

Rozwiazanie z port-security jakiś tam poziom bezpieczeństwa zapewnia, z pewnością dot1x jest lepszym rozwiązaniem.
Teraz nie ma nic, porty są otwarte, jeden klient zrobił audyt i poprosił nas o uruchomienie port-security na portach które mają dostęp do jego sieci.

Ok dam znać.

Pzdr
hm

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: Wdrożenie port security

#15

#15 Post autor: judge dredd »

mhuba pisze: 10 cze 2019, 14:28 Czy ktoś ma to u siebie w sieci, czy ma 2 czy ma 3?
Czy jeśli miał 2 miał jakieś problemy.
Ja miałem 2 i na 100% nie miałem żadnych problemów (switche i telefony Cisco).

Pozdrawiam!

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

ODPOWIEDZ