Konflikty IP czy da się przeciwdziałać ?

Problemy z pozostałymi technologiami (SDH, IronPort, WAAS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
DOOM
member
member
Posty: 22
Rejestracja: 24 lis 2015, 10:03
Lokalizacja: Legionowo

Konflikty IP czy da się przeciwdziałać ?

#1

#1 Post autor: DOOM » 24 lis 2015, 14:49

Witam,

Dziś jeden z userów zmienił sobie adres ip na statyczny, puścił ping na router i switch core`owy. Adres który wybrał był adresem ip centrali telefonicznej z której korzystają 3 oddziały w Polsce. Zmieniły się wpisy w tablicy ARP i każdy z oddziałów stracił połączenie do centrali telefonicznej. Dopiero porównanie wpisów z tablic ARP kilku urządzeń pozwoliło mi określić co dokładnie się stało. Jest jakaś możliwość przeciwdziałania takim przypadkom ?

Awatar użytkownika
garfield
CCIE
CCIE
Posty: 2882
Rejestracja: 25 sie 2006, 18:32
Lokalizacja: Gdynia

#2

#2 Post autor: garfield » 24 lis 2015, 15:02

DHCP snooping + Dynamic ARP Inspection + IP Source guard
Remember that the lab is just looking for reachability and not “optimal reachability”.

Kyniu
wannabe
wannabe
Posty: 3502
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: Konflikty IP czy da się przeciwdziałać ?

#3

#3 Post autor: Kyniu » 24 lis 2015, 16:35

DOOM pisze: Jest jakaś możliwość przeciwdziałania takim przypadkom ?
Nie dawać użyszkodnikom praw administracyjnych na komputerach to nie zmienią sobie adresu.
A na BYOD stworzyć całkiem osobną sieć w której nie masz tak istotnych zasobów.

Awatar użytkownika
awo
CCIE
CCIE
Posty: 354
Rejestracja: 05 wrz 2004, 16:25
Lokalizacja: waw@pl
Kontakt:

#4

#4 Post autor: awo » 25 lis 2015, 10:29

Można za pomocą IPAM ale to i tak nie ochroni przed userem.
Ale nie jesteście jedyni. Były już przypadki że główny CRM wisiał na IP który ktoś zabrał sobie dla PC :)

Tak... płaskie sieci też były :-)

mabes
member
member
Posty: 43
Rejestracja: 23 wrz 2012, 09:01

#5

#5 Post autor: mabes » 25 lis 2015, 11:13

Nie dawać użyszkodnikom praw administracyjnych na komputerach to nie zmienią sobie adresu.
Według mnie nie tędy droga, jako człowiek od sieci musisz zabezpieczyć sieć, a nie ufać że zrobi to ktoś od systemów (a jak nie zrobi to będzie na niego :) ). Tym bardziej że jak wspomnieliście jest kilka fajnych i eleganckich sposobów na to.

Kyniu
wannabe
wannabe
Posty: 3502
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#6

#6 Post autor: Kyniu » 25 lis 2015, 11:45

mabes pisze:Według mnie nie tędy droga, jako człowiek od sieci musisz zabezpieczyć sieć, a nie ufać że zrobi to ktoś od systemów (a jak nie zrobi to będzie na niego :) ).
Jak ja kocham jak przychodzą na forum newbies i nawet nie spojrzą na rangę przedmówcy któremu odpisują i wypisują swoje mądrości.

jarek6
wannabe
wannabe
Posty: 212
Rejestracja: 07 lut 2008, 17:56

#7

#7 Post autor: jarek6 » 25 lis 2015, 14:03

A moze warto bylo by wazne rzeczy (czytaj: centralke) wrzucic do osbonego VLAN, gdzie nie ma swobodnego dostepu userow i po klopocie ? Ewentualnie userow wrzucic do innego segmentu.

Kyniu
wannabe
wannabe
Posty: 3502
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#8

#8 Post autor: Kyniu » 25 lis 2015, 14:33

seba766 pisze:A na tym forum nie polega aby dyskutować nie zależnie od rangi?
Polega tylko po co dyskutować o truizmach. Odpowiedź jak to zrobić na poziomie sieci padła. Ja dodałem jak to zrobić szybko i bez kupowania sprzętu, a przy okazji zabezpieczyć się przed innymi problemami. Wypowiedź mabesa to było już tylko czcze bicie piany.

mabes
member
member
Posty: 43
Rejestracja: 23 wrz 2012, 09:01

#9

#9 Post autor: mabes » 25 lis 2015, 21:13

To ile musze natrzaskac tematow na tym forum zeby moc wyrazic swoje zdanie?

Założenie jest takie ze nie mozesz ufac temu co jest podpiete przez użytkownika końcowego i tyle. Takie podejscie adminow ze trzeba odbierac prawa administratora za wszelka cene zawsze mnie irytowalo, ale przepraszam ze osmielilem sie wtracic swoje 3 grosze...

P.S
Zauwazylem ze kolejny raz podnosisz kwestie swojego stazu na tym forum, dodaje to jakies punkty do wiedzy i doswiadczenia?

Kyniu
wannabe
wannabe
Posty: 3502
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#10

#10 Post autor: Kyniu » 25 lis 2015, 21:29

mabes pisze:To ile musze natrzaskac tematow na tym forum zeby moc wyrazic swoje zdanie?
Sam musisz do tego dojść.
mabes pisze:Takie podejscie adminow ze trzeba odbierac prawa administratora za wszelka cene zawsze mnie irytowalo
Rozsądny admin sam nigdy nie pracuje na prawach admina. A co dopiero pozwalać na to użyszkodnikom.

Awatar użytkownika
bigboss
CCIE
CCIE
Posty: 757
Rejestracja: 08 mar 2004, 11:03
Lokalizacja: Wrocław/Warszawa
Kontakt:

#11

#11 Post autor: bigboss » 25 lis 2015, 21:43

mabes pisze:To ile musze natrzaskac tematow na tym forum zeby moc wyrazic swoje zdanie?

(...)

P.S
Zauwazylem ze kolejny raz podnosisz kwestie swojego stazu na tym forum, dodaje to jakies punkty do wiedzy i doswiadczenia?
To jest, widzisz, taka świecka tradycja w naszym fight klubie.
Ilekroć jakiś weteran przyłapie kota (<100 postów), który wtrąca swoje 3 grosze i zbluzga go za brak szacunku, to autor wątku musi kliknąć weteranowi "helped", czyli "you helped to kick the cat". Ja jestem trochę do tyłu, ale Kyniu jest czujny i ma już dużo punktów.
Kto będzie miał 1000 punktów, ten dostanie czołg.

Więc poczekaj spokojnie, jeszcze trochę i sam będziesz mógł w to zagrać.

Ona jest ekstra, ta tradycja i bardzo stara, dlatego nazywa się ekstradycja.
I nie mów nikomu, bo pierwsza zasada jest taka, że nie ma żadnego klubu.

Ten post ulegnie samozniszczeniu.
Pozdrawiam z Wrocławia (no dobra, teraz z Wawy) - Mariusz @@@ Linkedin - zapraszam: http://pl.linkedin.com/in/trojanowski

bbartlomiej
wannabe
wannabe
Posty: 81
Rejestracja: 08 cze 2015, 20:38

#12

#12 Post autor: bbartlomiej » 05 gru 2015, 21:44

Kyniu pisze:
mabes pisze:Według mnie nie tędy droga, jako człowiek od sieci musisz zabezpieczyć sieć, a nie ufać że zrobi to ktoś od systemów (a jak nie zrobi to będzie na niego :) ).
Jak ja kocham jak przychodzą na forum newbies i nawet nie spojrzą na rangę przedmówcy któremu odpisują i wypisują swoje mądrości.
Błagam, powiedz, że ten post to był żart.

Awatar użytkownika
Sofcik
wannabe
wannabe
Posty: 1026
Rejestracja: 28 mar 2006, 15:29
Lokalizacja: Warszawa

#13

#13 Post autor: Sofcik » 06 gru 2015, 09:08

Kyniu pisze:
Rozsądny admin sam nigdy nie pracuje na prawach admina. A co dopiero pozwalać na to użyszkodnikom.
Żaden rozsądny admin nie nazywa użytkowników "użyszkodnikami" - to dzięki nim mamy pracę i należy ich szanować bez względu na to jakie głupie/dziwne/niebezpieczne rzeczy robią w sieci/na serwerze/na stacji roboczej.

ONI są Twoimi klientami, a Ty dostajesz pieniądze za to, że DLA NICH pracujesz.

A mądry administrator umie tak skonfigurować stację by nie były potrzebne prawa administratora bądź umie ograniczyć ewentualne szkody.

Taki off-topic...

--
Piotrek

Kyniu
wannabe
wannabe
Posty: 3502
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#14

#14 Post autor: Kyniu » 06 gru 2015, 11:30

Sofcik pisze: Żaden rozsądny admin nie nazywa użytkowników "użyszkodnikami"
A ja nazywam. Przy pełnej tego świadomości - i akceptacji - z ich strony.
Sofcik pisze: ONI są Twoimi klientami
Nie, nie są.
Sofcik pisze: a Ty dostajesz pieniądze za to, że DLA NICH pracujesz.
Hmm, ująłbym to inaczej, ale wtedy to już pewne, że kilka osób z tego forum w duchu politycznej poprawności spaliłoby mnie na stosie. Aczkolwiek nie, to nie dla nich pracuje. I nie za dobre relacje z nimi czy ich satysfakcję dostaje pieniądze. Skądinąd z doświadczenia powiedziałbym, że jeśli użyszkodnicy nie narzekają na admina, to ten źle wykonuje swoją pracę.
Sofcik pisze: A mądry administrator umie tak skonfigurować stację by nie były potrzebne prawa administratora
Powtórzyłeś dokładnie to co napisałem.

ODPOWIEDZ