форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение		[ Отслеживать ]

"Методы закрутки безопасности на коммутаторах cisco"	+/–
Сообщение от www_tank (ok) on 29-Янв-16, 12:10
Модный ИТ-начальник с любовью к параноидальной безопасности предложил улучшить и углубить безопасность на коммутаторах. Рассуждая здраво и оптимистично, разумное зерно в этом требовании есть: коммутататоры Cat2960, c3560E, c3560X, c3750, c3750G, c3750E используются явно не на столько, сколько стоят, из фичей используется: - повсеместно VLAN 802.1q - линки между коммутаторами 10Gbit (SR и LR) - отдается статистика по SNMP и syslog - c3750 повязаны в стек - ограничения на административный доступ выставлены это все, как видите, не густо. Что можно замутить на тему пассивной безопасности? Может сделать некоторые порты карантинные, типо туда враги подключаются? Может обвесить чем-то линковые порты, не убивая 10G? Особо интересует коммутатор, который принимает соединения от ISP (Интеренет и пр. услуги снаружи). Сейчас это 2960, можно поменять на c3750G Спасибо за идеи!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Методы закрутки безопасности на коммутаторах cisco"	+/–
Сообщение от ShyLion (ok) on 29-Янв-16, 13:03
> Модный ИТ-начальник Просверлить ему голову дрелью. Иначе подыскать другую работу, навнедрять 802.1x, вынести мозг себе и пользователям. По результатам предыдущего пункта либо вернуть взад как все было, либо перейти на найденую до этого работу со словами "да е@ись оно конем".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от ShyLion (ok) on 29-Янв-16, 13:06
	Все "модные" фишки безопасности требуют изменения ВСЕЙ инфраструктуры предприятия, и главное, дисциплины пользователей, начиная с самого верха без исключений.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от www_tank (ok) on 29-Янв-16, 13:27
	> Все "модные" фишки безопасности требуют изменения ВСЕЙ инфраструктуры предприятия, и главное, > дисциплины пользователей, начиная с самого верха без исключений. дайте хотя бы названия "фишек" и ссылки на описание. 802.1х известно - ну его на фиг. это уже давно не модная фишка. попробуем сузить тему до двух моментов: - как превентивно защитить коммутатор от зловредов Операторских сетей? - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами коммутатора? обсуждения "начальник-удак" не рассматриваются
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от crash (ok) on 29-Янв-16, 14:03
	> - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами коммутатора? видимо сначала надо понять как коммутатор должен понять что это вирус, например? Тут скорее всего никак, если только средствами самого коммутатора
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от www_tank (ok) on 29-Янв-16, 14:19
	> сначала надо понять как коммутатор должен понять что это вирус, например? по поведению трафика, по заглядыванию во фрейм/пакет/ коммутаторы сейчас до 7 уровня копать могут.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от crash (ok) on 29-Янв-16, 14:28
	>> сначала надо понять как коммутатор должен понять что это вирус, например? > по поведению трафика, по заглядыванию во фрейм/пакет/ > коммутаторы сейчас до 7 уровня копать могут. что же тогда cisco всякие wsa/esa, forepower пихает? Сказала бы, наши коммутаторы, самые коммутаторные в мире и все на этом. А с чем коммутатор должен еще сравнить, что вот такое поведение трафика это не кошерное поведение?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от Andrey (??) on 29-Янв-16, 16:12
	>> сначала надо понять как коммутатор должен понять что это вирус, например? > по поведению трафика, по заглядыванию во фрейм/пакет/ > коммутаторы сейчас до 7 уровня копать могут. Не путайте свитчи с модулями Сontent switch и собственно Ethernet switch. Первые по сути дела быстодействующие прокси/роутеры/балансировщики. Вторые в обозримом будущем никак не могут L7 "копать". Особенно на access/distribution уровне.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от ShyLion (ok) on 01-Фев-16, 07:27
	> 802.1х известно - ну его на фиг. это уже давно не модная > фишка. Ээээээ.... ну ок > попробуем сузить тему до двух моментов: > - как превентивно защитить коммутатор от зловредов Операторских сетей? Обычно операторам нужно защищаться от абонентов а не наоборот. По сути вопроса - фильтровать все, что не относится к траффику вашего соединения: выключить STP,CDP,LLDP и т.п. на порту, принудительно задать аксес режим, разрешать траффик только с MAC операторского роутера, ограничить входящий мультикаст и броадкаст. Остальное делается на маршрутизаторе а не на коммутаторе. > - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами > коммутатора? На указаных вами моделях никак. > обсуждения "начальник-удак" не рассматриваются А зря.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Методы закрутки безопасности на коммутаторах cisco"	+/–
Сообщение от vigogne (ok) on 29-Янв-16, 19:27
>[оверквотинг удален] > - отдается статистика по SNMP и syslog > - c3750 повязаны в стек > - ограничения на административный доступ выставлены > это все, как видите, не густо. > Что можно замутить на тему пассивной безопасности? > Может сделать некоторые порты карантинные, типо туда враги подключаются? > Может обвесить чем-то линковые порты, не убивая 10G? > Особо интересует коммутатор, который принимает соединения от ISP (Интеренет и пр. услуги > снаружи). Сейчас это 2960, можно поменять на c3750G > Спасибо за идеи! Почитайте вот тут https://habrahabr.ru/post/251547/ Там много технологий описано, плюс комменты прошерстите, там тоже здравые идеи попадаются.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от www_tank (ok) on 01-Фев-16, 08:27
	Спасибо за советы. "разрешать траффик только с MAC операторского роутера" это как? "ограничить входящий мультикаст и броадкаст" а можно конкретнее?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от ShyLion (ok) on 01-Фев-16, 09:18
	> Спасибо за советы. > "разрешать траффик только с MAC операторского роутера" > это как? MAC аксес лист. Более точные рекомендации можно давать, зная параметры вашего подключения, в любом случае меры должны быть комплексные. Нужно помнить, что чем сильнее закрутите гайки, тем больше геморою себе обеспечите в виде "а у меня не работает ютуп и однокашники". > "ограничить входящий мультикаст и броадкаст" > а можно конкретнее? storm-control По ссылке на хабр об этом есть.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Методы закрутки безопасности на коммутаторах cisco"	+/–
Сообщение от gfh (??) on 01-Фев-16, 09:19
На свитчах циски куча фич по безопасности. DHCP Snooping IP Source Gaurd Dynamic ARP Inspection IGMP Snooping Storm Control Protected Ports Port Security ... Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" и читайте внимательней.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от www_tank (ok) on 01-Фев-16, 14:55
	Спасибо.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от www_tank (ok) on 01-Фев-16, 14:59
	Спасибо. "storm-control broadcast pps 500 100 storm-control action shutdown errdisable recovery cause storm-control errdisable recovery interval 60" как я понимаю, если заглушить на всех ВЛАНах STP, то не будет актуально? по крайней мере в статье так сказано учитывая заглушенный STP, статический ip на интерфейсе с провайдерами, настроеный L2 secure, остается только жесткая привязка к MAC устройства оператора. А если он поменяет девайс (на что имеет полное право) а я буду на Канарах....
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от ShyLion (ok) on 02-Фев-16, 06:50
	> А если он > поменяет девайс (на что имеет полное право) а я буду на > Канарах.... Информационная безопасность это всегда компромисс. Каждый сам выбирает границу, когда пора остановиться. На шторм контроль не надо шатдаунов, достаточно просто ограничить скорость, чтобы оно хоть как-то работало. На кой тушить STP на всех VLAN? Речь идет о единственном порту - стыке с оператором. Включить там bpdu filter и все. Не надо ничего тушить.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	15. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от Виктор (??) on 01-Фев-16, 20:17
	>[оверквотинг удален] > DHCP Snooping > IP Source Gaurd > Dynamic ARP Inspection > IGMP Snooping > Storm Control > Protected Ports > Port Security > ... > Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" > и читайте внимательней. Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например...
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	17. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от ShyLion (ok) on 02-Фев-16, 06:52
	>[оверквотинг удален] >> Dynamic ARP Inspection >> IGMP Snooping >> Storm Control >> Protected Ports >> Port Security >> ... >> Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" >> и читайте внимательней. > Все это есть и в китайских L2+ свитчах, не говоря о всяких > DLink-ах и Zyxel например... Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь нормальный IOS).
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от www_tank (ok) on 02-Фев-16, 09:46
	>>> На кой тушить STP на всех VLAN? на этом свиче у меня линки на операторов, на граничные устройства и пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще? там в каждом ВЛАНе по 10 mac-ов >> Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например... > Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь > нормальный IOS). А еще у китайцев написано, а не реализовано
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от ShyLion (ok) on 02-Фев-16, 16:16
	>>>> На кой тушить STP на всех VLAN? > на этом свиче у меня линки на операторов, на граничные устройства и > пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще? > там в каждом ВЛАНе по 10 mac-ов гости патчкордом две розетки не соединят, думаешь?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "Методы закрутки безопасности на коммутаторах cisco"	+/–
	Сообщение от www_tank (ok) on 03-Фев-16, 14:02
	> гости патчкордом две розетки не соединят, думаешь? так они не закроссированы, свич в серверной. Если только эникеи постараются, но их за это жестоко караю выключением Инета. За оставленную соплю на пачт-панели на один день, а такая петелька им надолго обойдется.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема