CISCO: zabezpieczenie się przed obcym Internetem

Problemy związane ze switchingiem
Wiadomość
Autor
nikeon
fresh
fresh
Posty: 3
Rejestracja: 11 kwie 2019, 14:49

CISCO: zabezpieczenie się przed obcym Internetem

#1

#1 Post autor: nikeon »

Hej,

Chciałbym się Was poradzić jak możemy zabezpieczyć się przed próbą chcianego, lub przypadkowego udostępnienia Internetu.
Na zasadzie..

Port UPLINK-owy jest gi 1/1
Reszta portów Fe 1/1-24 - to porty klienckie.

Jeden z klientów na Fe 1/10 wpina swój router, który raz:
- jest źle wpięty i rozsyła dhcp-em
- klient na swoim komputerze włączył przypadkiem udostępnianie internetu

Jedną z metod ochrony przed obcym dhcp-em, to (DHCP SNOOPING - trust na uplinku), a przed drugim źródłem sieci? - chodzi mi po głowie root-guard, ale nie jestem pewien w jakiej konfiguracji.

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#2

#2 Post autor: Kyniu »

802.1x, port security, shutdown nieużywanych portów, ......... słowem klasyczny zestaw.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

nikeon
fresh
fresh
Posty: 3
Rejestracja: 11 kwie 2019, 14:49

Re: CISCO: zabezpieczenie się przed obcym Internetem

#3

#3 Post autor: nikeon »

Kyniu pisze: 12 kwie 2019, 13:13 802.1x, port security, shutdown nieużywanych portów, ......... słowem klasyczny zestaw.
A co ma shutdown nieużywanych portów, do używanego portu na którym występuje konflikt (klient)?
port security też tu nijak się ma, bo konflikt rozpoczyna urządzenie o "zarejestrowanym" mac-ku.
802.1x - jest, niemniej nadal nie jest pomocny, bo klient powodujący konflikt jest zautoryzowany..

I jak się ma klasyczny zestaw do takiej sytuacji?

saiqard
wannabe
wannabe
Posty: 385
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

Re: CISCO: zabezpieczenie się przed obcym Internetem

#4

#4 Post autor: saiqard »

Jeśli klient włączy udostępnianie internetu, to i tak musi być bramą dla pozostałych hostów żęby przez niego dostały się do internetu. bez dhcp albo ręcznej konfiguracji tego nie zrobią :)
PCNSA PCNSE JNCIP-DC JNCDA JNCIA-SEC JNCIA-JUNOS JNCIA-CLOUD CCNA-RS

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#5

#5 Post autor: Kyniu »

nikeon pisze: 12 kwie 2019, 14:25 port security też tu nijak się ma, bo konflikt rozpoczyna urządzenie o "zarejestrowanym" mac-ku.
Jakim cudem?
nikeon pisze: 12 kwie 2019, 14:25 802.1x - jest, niemniej nadal nie jest pomocny, bo klient powodujący konflikt jest zautoryzowany..
Jakim cudem?

Aaaaaa, dałeś mu prawa admina na kompie ("klient na swoim komputerze włączył przypadkiem udostępnianie internetu"), no to masz odpowiedź.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

Awatar użytkownika
drozdov
CCIE
CCIE
Posty: 511
Rejestracja: 13 sie 2005, 23:34
Lokalizacja: Zurych

Re: CISCO: zabezpieczenie się przed obcym Internetem

#6

#6 Post autor: drozdov »

Na poczatku za pomoca DHCP snooping butujesz sobie baze danych:
mac - ip - port - vlan
nastepnie wlaczasz dynamic arp inspection.

To spowoduje ze obronisz sie przed przed falszywymi odpowiedziami ARP od stacji - w tym o brame domyslna (czyli jak stacja z "obcym" internetem bedzie chciala sie podszyc pod brame).
Jezeli chodzi o scenariusz ze ktos sam zmienia sobie IP bramy domyslnej po pobraniu adresu DHCP to raczej problem jest z uprawnieniami na hoscie i raczej niewiele z tym mozna zrobic dotykajac tematu jedynie na przelaczniku.

lbromirs mial doskonana prezentacje na temat L2/L3 security w LAN jakis dlugi czas temu. Moze gdzies jeszcze egzystuje w Internetach.
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu :)

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#7

#7 Post autor: drake »

Moznaby dorzucic jeszcze private vlans i zablokowac komunikacje wewnatrz vlanu miedzy portami (isolated), zezwalajac na wyjcie tylko przez port promiscous.

Taka troche paranoja, lepiej uzgodnic z mgmt i wdrozyc polityke bezpieczenstwa IT w firmie, uswiadamiajac pracownikow.

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

psles
wannabe
wannabe
Posty: 143
Rejestracja: 04 sie 2011, 06:09
Lokalizacja: Gdynia

Re: CISCO: zabezpieczenie się przed obcym Internetem

#8

#8 Post autor: psles »

to już faktycznie byłaby trochę paranoja, ale zestaw DHCP snooping, port security, Dynamic ARP inspection, 802.1x, shutdown nieużywanych portów to chyba najlepszy zestaw w tej sytuacji. Faktycznie nie obroni Cię to przed udostępnianiem Internetu z konkretnego hosta, ale ograniczy to udostępnianie do tylko tego jednego hosta, bo bez obcego DHCP pozostali będą nadal korzystali tylko z Twojej bramki.

A jeśli już musisz dać userowi admin right na stacji, to ogranicz przynajmniej niektóre funkcje z AD (jeśli takie masz). Jak nie, to local policy, żeby tylko Administrator mógł włączyć internet sharing, a nie cała grupa (bo zakładam, że user korzysta ze swojego loginu, a tylko ma przyznane admin rights, czyli jest w grupie Administrators).

Miłego!
.ılı..ılı.

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#9

#9 Post autor: PatrykW »

Polityka bezpieczenstwa, oraz wewn szkolenia eliminuja takie twory.
Zrob audyt w swojej organizacji.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: CISCO: zabezpieczenie się przed obcym Internetem

#10

#10 Post autor: konradrz »

A ja myślę że przedmówcy chodzi o co innego (ale mogłem nie zrozumieć pytania :)
Że "mam interneta całkiem dobrego (taki "trzepakowy provider"), i pod-sprzedaję* go dwudziesu gostkom. i nie chcę, żeby "oni dalej udostępniali" (ergo, MAC będzie jeden, tylko NATy PATy szmaty).
W skrócie - nie jest to wtedy trywialne, trzeba by się bawić w OS-fingerprinting itd. Nie warto. Wtedy lepiej shaping zrobić - jak klient A chce dać swoje pasmo klientom XYZ - co szkodzi.

* choćby i za darmo. W sensie, "mata chłopaki, ale mię nie róbta w walona".

ODPOWIEDZ