- Методы закрутки безопасности на коммутаторах cisco,
 ShyLion, 13:03 , 29-Янв-16 (1)> Модный ИТ-начальникПросверлить ему голову дрелью.
Иначе подыскать другую работу, навнедрять 802.1x, вынести мозг себе и пользователям.
По результатам предыдущего пункта либо вернуть взад как все было, либо перейти на найденую до этого работу со словами "да е@ись оно конем".
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 13:06 , 29-Янв-16 (2)
Все "модные" фишки безопасности требуют изменения ВСЕЙ инфраструктуры предприятия, и главное, дисциплины пользователей, начиная с самого верха без исключений.
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 13:27 , 29-Янв-16 (3)
> Все "модные" фишки безопасности требуют изменения ВСЕЙ инфраструктуры предприятия, и главное,
> дисциплины пользователей, начиная с самого верха без исключений.дайте хотя бы названия "фишек" и ссылки на описание.
802.1х известно - ну его на фиг. это уже давно не модная фишка.
попробуем сузить тему до двух моментов:
- как превентивно защитить коммутатор от зловредов Операторских сетей?
- как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами коммутатора?
обсуждения "начальник-удак" не рассматриваются
- Методы закрутки безопасности на коммутаторах cisco, crash, 14:03 , 29-Янв-16 (4)
> - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами коммутатора?видимо сначала надо понять как коммутатор должен понять что это вирус, например? Тут скорее всего никак, если только средствами самого коммутатора
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 14:19 , 29-Янв-16 (5)
> сначала надо понять как коммутатор должен понять что это вирус, например? по поведению трафика, по заглядыванию во фрейм/пакет/
коммутаторы сейчас до 7 уровня копать могут.
- Методы закрутки безопасности на коммутаторах cisco, crash, 14:28 , 29-Янв-16 (6)
>> сначала надо понять как коммутатор должен понять что это вирус, например?
> по поведению трафика, по заглядыванию во фрейм/пакет/
> коммутаторы сейчас до 7 уровня копать могут.что же тогда cisco всякие wsa/esa, forepower пихает? Сказала бы, наши коммутаторы, самые коммутаторные в мире и все на этом.
А с чем коммутатор должен еще сравнить, что вот такое поведение трафика это не кошерное поведение?
- Методы закрутки безопасности на коммутаторах cisco, Andrey, 16:12 , 29-Янв-16 (7)
>> сначала надо понять как коммутатор должен понять что это вирус, например?
> по поведению трафика, по заглядыванию во фрейм/пакет/
> коммутаторы сейчас до 7 уровня копать могут.Не путайте свитчи с модулями Сontent switch и собственно Ethernet switch.
Первые по сути дела быстодействующие прокси/роутеры/балансировщики.
Вторые в обозримом будущем никак не могут L7 "копать". Особенно на access/distribution уровне.
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 07:27 , 01-Фев-16 (9)
> 802.1х известно - ну его на фиг. это уже давно не модная
> фишка.Ээээээ.... ну ок > попробуем сузить тему до двух моментов:
> - как превентивно защитить коммутатор от зловредов Операторских сетей? Обычно операторам нужно защищаться от абонентов а не наоборот.
По сути вопроса - фильтровать все, что не относится к траффику вашего соединения:
выключить STP,CDP,LLDP и т.п. на порту, принудительно задать аксес режим, разрешать траффик только с MAC операторского роутера, ограничить входящий мультикаст и броадкаст. Остальное делается на маршрутизаторе а не на коммутаторе. > - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами
> коммутатора? На указаных вами моделях никак. > обсуждения "начальник-удак" не рассматриваются А зря.
- Методы закрутки безопасности на коммутаторах cisco, vigogne, 19:27 , 29-Янв-16 (8)
>[оверквотинг удален]
> - отдается статистика по SNMP и syslog
> - c3750 повязаны в стек
> - ограничения на административный доступ выставлены
> это все, как видите, не густо.
> Что можно замутить на тему пассивной безопасности?
> Может сделать некоторые порты карантинные, типо туда враги подключаются?
> Может обвесить чем-то линковые порты, не убивая 10G?
> Особо интересует коммутатор, который принимает соединения от ISP (Интеренет и пр. услуги
> снаружи). Сейчас это 2960, можно поменять на c3750G
> Спасибо за идеи!Почитайте вот тут https://habrahabr.ru/post/251547/ Там много технологий описано, плюс комменты прошерстите, там тоже здравые идеи попадаются.
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 08:27 , 01-Фев-16 (10)
Спасибо за советы.
"разрешать траффик только с MAC операторского роутера"
это как?
"ограничить входящий мультикаст и броадкаст"
а можно конкретнее?
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 09:18 , 01-Фев-16 (11)
> Спасибо за советы.
> "разрешать траффик только с MAC операторского роутера"
> это как?MAC аксес лист. Более точные рекомендации можно давать, зная параметры вашего подключения, в любом случае меры должны быть комплексные. Нужно помнить, что чем сильнее закрутите гайки, тем больше геморою себе обеспечите в виде "а у меня не работает ютуп и однокашники".
> "ограничить входящий мультикаст и броадкаст"
> а можно конкретнее?
storm-control По ссылке на хабр об этом есть.
- Методы закрутки безопасности на коммутаторах cisco, gfh, 09:19 , 01-Фев-16 (12)
На свитчах циски куча фич по безопасности.DHCP Snooping
IP Source Gaurd
Dynamic ARP Inspection
IGMP Snooping
Storm Control
Protected Ports
Port Security
... Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" и читайте внимательней.
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 14:55 , 01-Фев-16 (13)
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 14:59 , 01-Фев-16 (14)
Спасибо.
"storm-control broadcast pps 500 100
storm-control action shutdown
errdisable recovery cause storm-control
errdisable recovery interval 60"
как я понимаю, если заглушить на всех ВЛАНах STP, то не будет
актуально? по крайней мере в статье так сказано учитывая заглушенный STP, статический ip на интерфейсе с провайдерами, настроеный L2 secure, остается только жесткая привязка к MAC устройства оператора. А если он поменяет девайс (на что имеет полное право) а я буду на Канарах....
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 06:50 , 02-Фев-16 (16)
> А если он
> поменяет девайс (на что имеет полное право) а я буду на
> Канарах....Информационная безопасность это всегда компромисс. Каждый сам выбирает границу, когда пора остановиться. На шторм контроль не надо шатдаунов, достаточно просто ограничить скорость, чтобы оно хоть как-то работало. На кой тушить STP на всех VLAN? Речь идет о единственном порту - стыке с оператором. Включить там bpdu filter и все. Не надо ничего тушить.
- Методы закрутки безопасности на коммутаторах cisco, Виктор, 20:17 , 01-Фев-16 (15)
>[оверквотинг удален]
> DHCP Snooping
> IP Source Gaurd
> Dynamic ARP Inspection
> IGMP Snooping
> Storm Control
> Protected Ports
> Port Security
> ...
> Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide"
> и читайте внимательней.Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например...
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 06:52 , 02-Фев-16 (17)
>[оверквотинг удален]
>> Dynamic ARP Inspection
>> IGMP Snooping
>> Storm Control
>> Protected Ports
>> Port Security
>> ...
>> Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide"
>> и читайте внимательней.
> Все это есть и в китайских L2+ свитчах, не говоря о всяких
> DLink-ах и Zyxel например...Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь нормальный IOS).
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 09:46 , 02-Фев-16 (18)
>>> На кой тушить STP на всех VLAN? на этом свиче у меня линки на операторов, на граничные устройства и пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще? там в каждом ВЛАНе по 10 mac-ов >> Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например...
> Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь
> нормальный IOS). А еще у китайцев написано, а не реализовано
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 16:16 , 02-Фев-16 (19)
>>>> На кой тушить STP на всех VLAN?
> на этом свиче у меня линки на операторов, на граничные устройства и
> пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще?
> там в каждом ВЛАНе по 10 mac-овгости патчкордом две розетки не соединят, думаешь?
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 14:02 , 03-Фев-16 (20)
> гости патчкордом две розетки не соединят, думаешь?так они не закроссированы, свич в серверной. Если только эникеи постараются, но их за это жестоко караю выключением Инета. За оставленную соплю на пачт-панели на один день, а такая петелька им надолго обойдется.
|
Версия для распечатки
Методы закрутки безопасности на коммутаторах cisco, 
