The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Полное ограничение доступа к Cisco"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"Полное ограничение доступа к Cisco"  +/
Сообщение от Eretik on 27-Авг-14, 21:17 
Здравствуйте.
Имеется Cisco Catalyst 3850 (WS-C3850-48T-E), управление им происходит только через менеджмент порт.

На самом свиче поднято несколько VLANов, также свитч выступает в роли DHCP сервера.

SNMP, SSH уже настроены должным образом в плане безопасности, но к примеру порт SNMPv3 открыт на на всех интерфейсах что делает его подверженным к примеру подмене IP либо DoS.

Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за исключением DHCP) на не менеджмент интерфейсе.

Я так понимаю подобное можно организовать при помощи Extended ACL
к примеру
permit udp any host 10.11.12.1 eq 67
permit udp any host 10.11.13.1 eq 67
deny ip any host 10.11.12.1
deny ip any host 10.11.13.1

где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.

Насколько подобное корректно и будет ли работать?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Полное ограничение доступа к Cisco"  +/
Сообщение от infery (ok) on 27-Авг-14, 21:55 
>[оверквотинг удален]
> Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за
> исключением DHCP) на не менеджмент интерфейсе.
> Я так понимаю подобное можно организовать при помощи Extended ACL
> к примеру
> permit udp any host 10.11.12.1 eq 67
> permit udp any host 10.11.13.1 eq 67
> deny ip any host 10.11.12.1
> deny ip any host 10.11.13.1
> где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.
> Насколько подобное корректно и будет ли работать?

Как вариант, можно посмотреть в сторону vlan filter vlan-list. Разрешить только нужный трафик, остальное сделает implicit deny

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Полное ограничение доступа к Cisco"  +/
Сообщение от Andrey (??) on 27-Авг-14, 23:12 
>[оверквотинг удален]
> Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за
> исключением DHCP) на не менеджмент интерфейсе.
> Я так понимаю подобное можно организовать при помощи Extended ACL
> к примеру
> permit udp any host 10.11.12.1 eq 67
> permit udp any host 10.11.13.1 eq 67
> deny ip any host 10.11.12.1
> deny ip any host 10.11.13.1
> где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.
> Насколько подобное корректно и будет ли работать?

Будет.
Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control Plane Protection и Management Plane Protection.
В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами, во втором и третьем только то, что будет адресовано в сторону Control Plane.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Полное ограничение доступа к Cisco"  +/
Сообщение от Eretik on 28-Авг-14, 02:24 
> Будет.
> Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control
> Plane Protection и Management Plane Protection.
> В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами,
> во втором и третьем только то, что будет адресовано в сторону
> Control Plane.

Спасибо за подсказку.
Боюсь что Control Plane Protection и Management Plane Protection не поддерживаются на 3850.
Нашел только Control Plane Policing (CPP), что в принципе решает проблему с DoS направленным на свитч без использования ACL.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру