CCIE.pl

Hej

Mam takie pytanko, na części portów na przełącznikach mamy uruchomić port security sticky zeby przypisać PC z telefonami do portu na stale.
Do przełącznika będzie podłączony telefon Cisco + do telefonu PC.
Myslicie ze max 2 mac adresy beda ok? Robie jakies tam wstepne testy i niby dziala, ale wszedzie gdzie widze jakies dokumentacje etc to jest czesto podane "3".
Tam jakos nie ma ekstra jakiegos MACa ekstra z przełącznika? Bezpiecznie jest mieć wpisane "2"?
Pzdr
mHuba

Na marginesie - jakieś VM na tych komputerach?

Raczej nie, dostep do PC z tego co wiem jest mocno ograniczony dla end usera, nie można nic instalować, mail, przeglądarka, citrix, sccm to wszystko co tam jest.

Na drugim marginesie : uważaj na Mac-i, te z jabłkiem. Przez różne przejściówki thunderbolt-y itp. Potrafią ogłaszać dodatkowe adresy Mac.

Klatapat

O ile mnie pamięć nie myli, te 3 adresy to było "bo telefon zabierze dwa wpisy" (jeden data vlan, drugi voice vlan). Ale to mogła być zamierzchła przeszłość (skoro działa przy limicie 2).

Cześć,

Była już gdzieś tutaj kiedyś podobna dyskusja i wtedy też pojawiła się informacja, że powinno się dać minimum 3 mac'ki dozwolone na porcie, ale powiem szczerze, że miałem kiedyś sporą infrastrukturę z port security i z telefonami cisco i pamiętam dokładnie, że wpisywałem zawsze "max 2" i działało bardzo dobrze. Switche to były 3560 w różnych opcjach, a telefony głównie 7911. Nigdy mi się nie zdarzyło, żeby nastąpiło psecure-violation przy takim ustawieniu i podłączeniu switch-tel-komp bez oczywistego naruszenia polityki.

Pozdrawiam!

JD

Sugeruję 3 mac adresy ponieważ zdarza się że telefon podczas przełączania się z data vlanu do voice vlanu przez chwilę bywa widoczny w data vlanie wtedy razem z kompem mamy 3 adresy i następuje psecure-violation . Takie krzaki zdarzały się z telefonami Avaya , nie pamiętam czy na Cisco miałem taki przypadek. Możesz też zrobić taki wpis dla spokoju sumienia

switchport port-security maximum 2 vlan access
switchport port-security maximum 1 vlan voice

No wałaśnie nie wiem, na 2 działa i wyglądał ok.
Ustawie 3 ale to będzie dziura w setupie, bo nawet jesli wstawie cos takiego:
to znaczy ze do access vlanu i tak mozemy wpiąć drugi PC poza tym trusted.
Tego chyba nie chcemy?

hm

Chcesz za pomocą port-security zarządzać dostępem do sieci ? To nie do tego służy . Port-security ma obronić przed cam table overflow , konfiguracja z mac-address sticky może się sprawdzić tylko w przypadku gdy masz stanowiska z desktopami i stacje nie migrują. W przypadku mobilnych userów to się nie sprawdza (aczkolwiek można wtedy użyć switchport port-security aging time) . Jeśli chcesz zabezpieczyć dostęp do sieci na poziomie accessu to trzeba pomyśleć 802.1x , do uwierzytelnienia można użyć choćby NPS z WinSrv . Przykład który podałem ma rozwiązać ew problemy z działaniem samego port-security , traktowanie tego jako dziury zależy od środowiska które mamy / chcemy wdrożyć .

Przecież napisałem wyraźnie że chce przyspawać telefon z PC na stale do portu.

Pzdr
hm

Jasne, a Ja odpisałem dlaczego powinno używać się 3 adresów - zarówno telefon i PC zostaną do portu przypisane . I nie traktuję tego jako dziury bo z mojego punktu nie jest to wystarczające zabezpieczenie ( co za problem przepisać sobie mac z telefonu np. do VM ) . Dla mnie to po prostu kwestia skali pojawiającego się problemu. Jeśli masz kilka tysięcy telefonów i Helpdesk co jakiś czas zgłasza Ci że jest psecure-violation na porcie to znaczy że 2 adresy jednak średnio się sprawdzają.

RiFF pisze: ↑10 cze 2019, 12:51 I nie traktuję tego jako dziury bo z mojego punktu nie jest to wystarczające zabezpieczenie ( co za problem przepisać sobie mac z telefonu np. do VM ).

Problem jest duży żeby coś takiego zrobić, end user ma dostęp tylko do kilku narzędzi, pisałem o tym wcześniej.
Nie może nic instalować ani grzebać w systemie, ma dostęp raptem do 3-4 narzędzi (IE, Citrix i coś tam jeszcze).

RiFF pisze: ↑10 cze 2019, 12:51 Dla mnie to po prostu kwestia skali pojawiającego się problemu. Jeśli masz kilka tysięcy telefonów i Helpdesk co jakiś czas zgłasza Ci że jest psecure-violation na porcie to znaczy że 2 adresy jednak średnio się sprawdzają.

Właśnie próbuje się dowiedzieć jaka jest praktyka, dlaczego w wielu dostępnych materiałach jest "3".
Czy ktoś ma to u siebie w sieci, czy ma 2 czy ma 3?
Czy jeśli miał 2 miał jakieś problemy.
"3" jest dla mnie bez sensu, bo ciągle nie zabezpiecza przed możliwością podpięcia innego PC przez end usera.
Wstawienie 3 tak na wszelki wypadek to de facto umożliwienie end userowi dalej podpiecia tego na co ma ochotę.

Ok, wstawie 2, uruchomie na 10 portach i niech się testuje.

Pzdr
hm

Zwykły end-user raczej nie robi takich trików jak zmiana mac adresu czy używanie VM bo jest właśnie 'zwykły' . To kombinatorzy lubią podłączyć dodatkowy komputer / router czy podmienić adres na swoim priv laptopie i przed nimi należy się bronić . Jeszcze inną kwestią są jacyś szemrani pracownicy firm trzecich (sprzątaczki / malarze / budowlańcy itp) , dlatego wspomniałem o 802.1x bo tylko w taki sposób zabezpieczysz dostęp do accessu , port-security nie rozwiąże tego problemu . Wracając do głównego tematu jeśli masz większą liczbę telefonów Cisco to daj znać po wdrożeniu czy na 2 mac adresach dają radę

Rozwiazanie z port-security jakiś tam poziom bezpieczeństwa zapewnia, z pewnością dot1x jest lepszym rozwiązaniem.
Teraz nie ma nic, porty są otwarte, jeden klient zrobił audyt i poprosił nas o uruchomienie port-security na portach które mają dostęp do jego sieci.

Ok dam znać.

Pzdr
hm

mhuba pisze: ↑10 cze 2019, 14:28 Czy ktoś ma to u siebie w sieci, czy ma 2 czy ma 3?
Czy jeśli miał 2 miał jakieś problemy.

Ja miałem 2 i na 100% nie miałem żadnych problemów (switche i telefony Cisco).

Pozdrawiam!

JD