форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"Полное ограничение доступа к Cisco"	+/–
Сообщение от Eretik on 27-Авг-14, 21:17
Здравствуйте. Имеется Cisco Catalyst 3850 (WS-C3850-48T-E), управление им происходит только через менеджмент порт. На самом свиче поднято несколько VLANов, также свитч выступает в роли DHCP сервера. SNMP, SSH уже настроены должным образом в плане безопасности, но к примеру порт SNMPv3 открыт на на всех интерфейсах что делает его подверженным к примеру подмене IP либо DoS. Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за исключением DHCP) на не менеджмент интерфейсе. Я так понимаю подобное можно организовать при помощи Extended ACL к примеру permit udp any host 10.11.12.1 eq 67 permit udp any host 10.11.13.1 eq 67 deny ip any host 10.11.12.1 deny ip any host 10.11.13.1 где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN. Насколько подобное корректно и будет ли работать?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Полное ограничение доступа к Cisco"	+/–
Сообщение от infery (ok) on 27-Авг-14, 21:55
>[оверквотинг удален] > Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за > исключением DHCP) на не менеджмент интерфейсе. > Я так понимаю подобное можно организовать при помощи Extended ACL > к примеру > permit udp any host 10.11.12.1 eq 67 > permit udp any host 10.11.13.1 eq 67 > deny ip any host 10.11.12.1 > deny ip any host 10.11.13.1 > где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN. > Насколько подобное корректно и будет ли работать? Как вариант, можно посмотреть в сторону vlan filter vlan-list. Разрешить только нужный трафик, остальное сделает implicit deny
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Полное ограничение доступа к Cisco"	+/–
Сообщение от Andrey (??) on 27-Авг-14, 23:12
>[оверквотинг удален] > Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за > исключением DHCP) на не менеджмент интерфейсе. > Я так понимаю подобное можно организовать при помощи Extended ACL > к примеру > permit udp any host 10.11.12.1 eq 67 > permit udp any host 10.11.13.1 eq 67 > deny ip any host 10.11.12.1 > deny ip any host 10.11.13.1 > где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN. > Насколько подобное корректно и будет ли работать? Будет. Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control Plane Protection и Management Plane Protection. В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами, во втором и третьем только то, что будет адресовано в сторону Control Plane.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Полное ограничение доступа к Cisco"	+/–
	Сообщение от Eretik on 28-Авг-14, 02:24
	> Будет. > Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control > Plane Protection и Management Plane Protection. > В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами, > во втором и третьем только то, что будет адресовано в сторону > Control Plane. Спасибо за подсказку. Боюсь что Control Plane Protection и Management Plane Protection не поддерживаются на 3850. Нашел только Control Plane Policing (CPP), что в принципе решает проблему с DoS направленным на свитч без использования ACL.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема