- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 13:03 , 29-Янв-16 (1)
> Модный ИТ-начальникПросверлить ему голову дрелью. Иначе подыскать другую работу, навнедрять 802.1x, вынести мозг себе и пользователям. По результатам предыдущего пункта либо вернуть взад как все было, либо перейти на найденую до этого работу со словами "да е@ись оно конем".
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 13:06 , 29-Янв-16 (2)
Все "модные" фишки безопасности требуют изменения ВСЕЙ инфраструктуры предприятия, и главное, дисциплины пользователей, начиная с самого верха без исключений.
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 13:27 , 29-Янв-16 (3)
> Все "модные" фишки безопасности требуют изменения ВСЕЙ инфраструктуры предприятия, и главное, > дисциплины пользователей, начиная с самого верха без исключений.дайте хотя бы названия "фишек" и ссылки на описание. 802.1х известно - ну его на фиг. это уже давно не модная фишка. попробуем сузить тему до двух моментов: - как превентивно защитить коммутатор от зловредов Операторских сетей? - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами коммутатора? обсуждения "начальник-удак" не рассматриваются
- Методы закрутки безопасности на коммутаторах cisco, crash, 14:03 , 29-Янв-16 (4)
> - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами коммутатора?видимо сначала надо понять как коммутатор должен понять что это вирус, например? Тут скорее всего никак, если только средствами самого коммутатора
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 14:19 , 29-Янв-16 (5)
> сначала надо понять как коммутатор должен понять что это вирус, например? по поведению трафика, по заглядыванию во фрейм/пакет/ коммутаторы сейчас до 7 уровня копать могут.
- Методы закрутки безопасности на коммутаторах cisco, crash, 14:28 , 29-Янв-16 (6)
>> сначала надо понять как коммутатор должен понять что это вирус, например? > по поведению трафика, по заглядыванию во фрейм/пакет/ > коммутаторы сейчас до 7 уровня копать могут.что же тогда cisco всякие wsa/esa, forepower пихает? Сказала бы, наши коммутаторы, самые коммутаторные в мире и все на этом. А с чем коммутатор должен еще сравнить, что вот такое поведение трафика это не кошерное поведение?
- Методы закрутки безопасности на коммутаторах cisco, Andrey, 16:12 , 29-Янв-16 (7)
>> сначала надо понять как коммутатор должен понять что это вирус, например? > по поведению трафика, по заглядыванию во фрейм/пакет/ > коммутаторы сейчас до 7 уровня копать могут.Не путайте свитчи с модулями Сontent switch и собственно Ethernet switch. Первые по сути дела быстодействующие прокси/роутеры/балансировщики. Вторые в обозримом будущем никак не могут L7 "копать". Особенно на access/distribution уровне.
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 07:27 , 01-Фев-16 (9)
> 802.1х известно - ну его на фиг. это уже давно не модная > фишка.Ээээээ.... ну ок > попробуем сузить тему до двух моментов: > - как превентивно защитить коммутатор от зловредов Операторских сетей? Обычно операторам нужно защищаться от абонентов а не наоборот. По сути вопроса - фильтровать все, что не относится к траффику вашего соединения: выключить STP,CDP,LLDP и т.п. на порту, принудительно задать аксес режим, разрешать траффик только с MAC операторского роутера, ограничить входящий мультикаст и броадкаст. Остальное делается на маршрутизаторе а не на коммутаторе. > - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами > коммутатора? На указаных вами моделях никак. > обсуждения "начальник-удак" не рассматриваются А зря.
- Методы закрутки безопасности на коммутаторах cisco, vigogne, 19:27 , 29-Янв-16 (8)
>[оверквотинг удален] > - отдается статистика по SNMP и syslog > - c3750 повязаны в стек > - ограничения на административный доступ выставлены > это все, как видите, не густо. > Что можно замутить на тему пассивной безопасности? > Может сделать некоторые порты карантинные, типо туда враги подключаются? > Может обвесить чем-то линковые порты, не убивая 10G? > Особо интересует коммутатор, который принимает соединения от ISP (Интеренет и пр. услуги > снаружи). Сейчас это 2960, можно поменять на c3750G > Спасибо за идеи!Почитайте вот тут https://habrahabr.ru/post/251547/ Там много технологий описано, плюс комменты прошерстите, там тоже здравые идеи попадаются.
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 08:27 , 01-Фев-16 (10)
Спасибо за советы. "разрешать траффик только с MAC операторского роутера" это как? "ограничить входящий мультикаст и броадкаст" а можно конкретнее?
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 09:18 , 01-Фев-16 (11)
> Спасибо за советы. > "разрешать траффик только с MAC операторского роутера" > это как?MAC аксес лист. Более точные рекомендации можно давать, зная параметры вашего подключения, в любом случае меры должны быть комплексные. Нужно помнить, что чем сильнее закрутите гайки, тем больше геморою себе обеспечите в виде "а у меня не работает ютуп и однокашники". > "ограничить входящий мультикаст и броадкаст" > а можно конкретнее?
storm-control По ссылке на хабр об этом есть.
- Методы закрутки безопасности на коммутаторах cisco, gfh, 09:19 , 01-Фев-16 (12)
На свитчах циски куча фич по безопасности.DHCP Snooping IP Source Gaurd Dynamic ARP Inspection IGMP Snooping Storm Control Protected Ports Port Security ... Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" и читайте внимательней.
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 14:55 , 01-Фев-16 (13)
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 14:59 , 01-Фев-16 (14)
Спасибо. "storm-control broadcast pps 500 100 storm-control action shutdown errdisable recovery cause storm-control errdisable recovery interval 60" как я понимаю, если заглушить на всех ВЛАНах STP, то не будет актуально? по крайней мере в статье так сказано учитывая заглушенный STP, статический ip на интерфейсе с провайдерами, настроеный L2 secure, остается только жесткая привязка к MAC устройства оператора. А если он поменяет девайс (на что имеет полное право) а я буду на Канарах....
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 06:50 , 02-Фев-16 (16)
> А если он > поменяет девайс (на что имеет полное право) а я буду на > Канарах....Информационная безопасность это всегда компромисс. Каждый сам выбирает границу, когда пора остановиться. На шторм контроль не надо шатдаунов, достаточно просто ограничить скорость, чтобы оно хоть как-то работало. На кой тушить STP на всех VLAN? Речь идет о единственном порту - стыке с оператором. Включить там bpdu filter и все. Не надо ничего тушить.
- Методы закрутки безопасности на коммутаторах cisco, Виктор, 20:17 , 01-Фев-16 (15)
>[оверквотинг удален] > DHCP Snooping > IP Source Gaurd > Dynamic ARP Inspection > IGMP Snooping > Storm Control > Protected Ports > Port Security > ... > Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" > и читайте внимательней.Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например...
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 06:52 , 02-Фев-16 (17)
>[оверквотинг удален] >> Dynamic ARP Inspection >> IGMP Snooping >> Storm Control >> Protected Ports >> Port Security >> ... >> Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" >> и читайте внимательней. > Все это есть и в китайских L2+ свитчах, не говоря о всяких > DLink-ах и Zyxel например...Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь нормальный IOS).
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 09:46 , 02-Фев-16 (18)
>>> На кой тушить STP на всех VLAN? на этом свиче у меня линки на операторов, на граничные устройства и пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще? там в каждом ВЛАНе по 10 mac-ов >> Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например... > Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь > нормальный IOS). А еще у китайцев написано, а не реализовано
- Методы закрутки безопасности на коммутаторах cisco, ShyLion, 16:16 , 02-Фев-16 (19)
>>>> На кой тушить STP на всех VLAN? > на этом свиче у меня линки на операторов, на граничные устройства и > пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще? > там в каждом ВЛАНе по 10 mac-овгости патчкордом две розетки не соединят, думаешь?
- Методы закрутки безопасности на коммутаторах cisco, www_tank, 14:02 , 03-Фев-16 (20)
> гости патчкордом две розетки не соединят, думаешь?так они не закроссированы, свич в серверной. Если только эникеи постараются, но их за это жестоко караю выключением Инета. За оставленную соплю на пачт-панели на один день, а такая петелька им надолго обойдется.
|