CISCO: zabezpieczenie się przed obcym Internetem

Problemy związane ze switchingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
nikeon
fresh
fresh
Posty: 2
Rejestracja: 11 kwie 2019, 14:49

CISCO: zabezpieczenie się przed obcym Internetem

#1

#1 Post autor: nikeon » 12 kwie 2019, 11:19

Hej,

Chciałbym się Was poradzić jak możemy zabezpieczyć się przed próbą chcianego, lub przypadkowego udostępnienia Internetu.
Na zasadzie..

Port UPLINK-owy jest gi 1/1
Reszta portów Fe 1/1-24 - to porty klienckie.

Jeden z klientów na Fe 1/10 wpina swój router, który raz:
- jest źle wpięty i rozsyła dhcp-em
- klient na swoim komputerze włączył przypadkiem udostępnianie internetu

Jedną z metod ochrony przed obcym dhcp-em, to (DHCP SNOOPING - trust na uplinku), a przed drugim źródłem sieci? - chodzi mi po głowie root-guard, ale nie jestem pewien w jakiej konfiguracji.

Kyniu
wannabe
wannabe
Posty: 3478
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#2

#2 Post autor: Kyniu » 12 kwie 2019, 13:13

802.1x, port security, shutdown nieużywanych portów, ......... słowem klasyczny zestaw.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

nikeon
fresh
fresh
Posty: 2
Rejestracja: 11 kwie 2019, 14:49

Re: CISCO: zabezpieczenie się przed obcym Internetem

#3

#3 Post autor: nikeon » 12 kwie 2019, 14:25

Kyniu pisze:
12 kwie 2019, 13:13
802.1x, port security, shutdown nieużywanych portów, ......... słowem klasyczny zestaw.
A co ma shutdown nieużywanych portów, do używanego portu na którym występuje konflikt (klient)?
port security też tu nijak się ma, bo konflikt rozpoczyna urządzenie o "zarejestrowanym" mac-ku.
802.1x - jest, niemniej nadal nie jest pomocny, bo klient powodujący konflikt jest zautoryzowany..

I jak się ma klasyczny zestaw do takiej sytuacji?

saiqard
wannabe
wannabe
Posty: 346
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

Re: CISCO: zabezpieczenie się przed obcym Internetem

#4

#4 Post autor: saiqard » 12 kwie 2019, 14:53

Jeśli klient włączy udostępnianie internetu, to i tak musi być bramą dla pozostałych hostów żęby przez niego dostały się do internetu. bez dhcp albo ręcznej konfiguracji tego nie zrobią :)

Kyniu
wannabe
wannabe
Posty: 3478
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#5

#5 Post autor: Kyniu » 12 kwie 2019, 15:36

nikeon pisze:
12 kwie 2019, 14:25
port security też tu nijak się ma, bo konflikt rozpoczyna urządzenie o "zarejestrowanym" mac-ku.
Jakim cudem?
nikeon pisze:
12 kwie 2019, 14:25
802.1x - jest, niemniej nadal nie jest pomocny, bo klient powodujący konflikt jest zautoryzowany..
Jakim cudem?

Aaaaaa, dałeś mu prawa admina na kompie ("klient na swoim komputerze włączył przypadkiem udostępnianie internetu"), no to masz odpowiedź.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)

Awatar użytkownika
drozdov
CCIE
CCIE
Posty: 511
Rejestracja: 13 sie 2005, 23:34
Lokalizacja: Zurych

Re: CISCO: zabezpieczenie się przed obcym Internetem

#6

#6 Post autor: drozdov » 12 kwie 2019, 18:06

Na poczatku za pomoca DHCP snooping butujesz sobie baze danych:
mac - ip - port - vlan
nastepnie wlaczasz dynamic arp inspection.

To spowoduje ze obronisz sie przed przed falszywymi odpowiedziami ARP od stacji - w tym o brame domyslna (czyli jak stacja z "obcym" internetem bedzie chciala sie podszyc pod brame).
Jezeli chodzi o scenariusz ze ktos sam zmienia sobie IP bramy domyslnej po pobraniu adresu DHCP to raczej problem jest z uprawnieniami na hoscie i raczej niewiele z tym mozna zrobic dotykajac tematu jedynie na przelaczniku.

lbromirs mial doskonana prezentacje na temat L2/L3 security w LAN jakis dlugi czas temu. Moze gdzies jeszcze egzystuje w Internetach.
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu :)

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1462
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#7

#7 Post autor: drake » 12 kwie 2019, 18:41

Moznaby dorzucic jeszcze private vlans i zablokowac komunikacje wewnatrz vlanu miedzy portami (isolated), zezwalajac na wyjcie tylko przez port promiscous.

Taka troche paranoja, lepiej uzgodnic z mgmt i wdrozyc polityke bezpieczenstwa IT w firmie, uswiadamiajac pracownikow.

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
psles
wannabe
wannabe
Posty: 114
Rejestracja: 04 sie 2011, 06:09
Lokalizacja: STL, USA

Re: CISCO: zabezpieczenie się przed obcym Internetem

#8

#8 Post autor: psles » 12 kwie 2019, 18:56

to już faktycznie byłaby trochę paranoja, ale zestaw DHCP snooping, port security, Dynamic ARP inspection, 802.1x, shutdown nieużywanych portów to chyba najlepszy zestaw w tej sytuacji. Faktycznie nie obroni Cię to przed udostępnianiem Internetu z konkretnego hosta, ale ograniczy to udostępnianie do tylko tego jednego hosta, bo bez obcego DHCP pozostali będą nadal korzystali tylko z Twojej bramki.

A jeśli już musisz dać userowi admin right na stacji, to ogranicz przynajmniej niektóre funkcje z AD (jeśli takie masz). Jak nie, to local policy, żeby tylko Administrator mógł włączyć internet sharing, a nie cała grupa (bo zakładam, że user korzysta ze swojego loginu, a tylko ma przyznane admin rights, czyli jest w grupie Administrators).

Miłego!
.ılı..ılı. CCNP

Awatar użytkownika
Wojtachinho
wannabe
wannabe
Posty: 1681
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#9

#9 Post autor: Wojtachinho » 13 kwie 2019, 17:47

Polityka bezpieczenstwa, oraz wewn szkolenia eliminuja takie twory.
Zrob audyt w swojej organizacji.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl
https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 353
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#10

#10 Post autor: konradrz » 14 kwie 2019, 01:14

A ja myślę że przedmówcy chodzi o co innego (ale mogłem nie zrozumieć pytania :)
Że "mam interneta całkiem dobrego (taki "trzepakowy provider"), i pod-sprzedaję* go dwudziesu gostkom. i nie chcę, żeby "oni dalej udostępniali" (ergo, MAC będzie jeden, tylko NATy PATy szmaty).
W skrócie - nie jest to wtedy trywialne, trzeba by się bawić w OS-fingerprinting itd. Nie warto. Wtedy lepiej shaping zrobić - jak klient A chce dać swoje pasmo klientom XYZ - co szkodzi.

* choćby i za darmo. W sensie, "mata chłopaki, ale mię nie róbta w walona".

ODPOWIEDZ