Модный ИТ-начальник с любовью к параноидальной безопасности предложил улучшить и углубить безопасность на коммутаторах. Рассуждая здраво и оптимистично, разумное зерно в этом требовании есть: коммутататоры Cat2960, c3560E, c3560X, c3750, c3750G, c3750E используются явно не на столько, сколько стоят, из фичей используется:
- повсеместно VLAN 802.1q
- линки между коммутаторами 10Gbit (SR и LR)
- отдается статистика по SNMP и syslog
- c3750 повязаны в стек
- ограничения на административный доступ выставлены
это все, как видите, не густо.Что можно замутить на тему пассивной безопасности?
Может сделать некоторые порты карантинные, типо туда враги подключаются?
Может обвесить чем-то линковые порты, не убивая 10G?
Особо интересует коммутатор, который принимает соединения от ISP (Интеренет и пр. услуги снаружи). Сейчас это 2960, можно поменять на c3750G
Спасибо за идеи!
> Модный ИТ-начальникПросверлить ему голову дрелью.
Иначе подыскать другую работу, навнедрять 802.1x, вынести мозг себе и пользователям.
По результатам предыдущего пункта либо вернуть взад как все было, либо перейти на найденую до этого работу со словами "да е@ись оно конем".
Все "модные" фишки безопасности требуют изменения ВСЕЙ инфраструктуры предприятия, и главное, дисциплины пользователей, начиная с самого верха без исключений.
> Все "модные" фишки безопасности требуют изменения ВСЕЙ инфраструктуры предприятия, и главное,
> дисциплины пользователей, начиная с самого верха без исключений.дайте хотя бы названия "фишек" и ссылки на описание.
802.1х известно - ну его на фиг. это уже давно не модная фишка.
попробуем сузить тему до двух моментов:
- как превентивно защитить коммутатор от зловредов Операторских сетей?
- как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами коммутатора?
обсуждения "начальник-удак" не рассматриваются
> - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами коммутатора?видимо сначала надо понять как коммутатор должен понять что это вирус, например? Тут скорее всего никак, если только средствами самого коммутатора
> сначала надо понять как коммутатор должен понять что это вирус, например?по поведению трафика, по заглядыванию во фрейм/пакет/
коммутаторы сейчас до 7 уровня копать могут.
>> сначала надо понять как коммутатор должен понять что это вирус, например?
> по поведению трафика, по заглядыванию во фрейм/пакет/
> коммутаторы сейчас до 7 уровня копать могут.что же тогда cisco всякие wsa/esa, forepower пихает? Сказала бы, наши коммутаторы, самые коммутаторные в мире и все на этом.
А с чем коммутатор должен еще сравнить, что вот такое поведение трафика это не кошерное поведение?
>> сначала надо понять как коммутатор должен понять что это вирус, например?
> по поведению трафика, по заглядыванию во фрейм/пакет/
> коммутаторы сейчас до 7 уровня копать могут.Не путайте свитчи с модулями Сontent switch и собственно Ethernet switch.
Первые по сути дела быстодействующие прокси/роутеры/балансировщики.
Вторые в обозримом будущем никак не могут L7 "копать". Особенно на access/distribution уровне.
> 802.1х известно - ну его на фиг. это уже давно не модная
> фишка.Ээээээ.... ну ок
> попробуем сузить тему до двух моментов:
> - как превентивно защитить коммутатор от зловредов Операторских сетей?Обычно операторам нужно защищаться от абонентов а не наоборот.
По сути вопроса - фильтровать все, что не относится к траффику вашего соединения:
выключить STP,CDP,LLDP и т.п. на порту, принудительно задать аксес режим, разрешать траффик только с MAC операторского роутера, ограничить входящий мультикаст и броадкаст. Остальное делается на маршрутизаторе а не на коммутаторе.> - как остановить вирус/флуд/фишинг внутри одного сегмента(VLANа) локальной сети средствами
> коммутатора?На указаных вами моделях никак.
> обсуждения "начальник-удак" не рассматриваются
А зря.
>[оверквотинг удален]
> - отдается статистика по SNMP и syslog
> - c3750 повязаны в стек
> - ограничения на административный доступ выставлены
> это все, как видите, не густо.
> Что можно замутить на тему пассивной безопасности?
> Может сделать некоторые порты карантинные, типо туда враги подключаются?
> Может обвесить чем-то линковые порты, не убивая 10G?
> Особо интересует коммутатор, который принимает соединения от ISP (Интеренет и пр. услуги
> снаружи). Сейчас это 2960, можно поменять на c3750G
> Спасибо за идеи!Почитайте вот тут https://habrahabr.ru/post/251547/ Там много технологий описано, плюс комменты прошерстите, там тоже здравые идеи попадаются.
Спасибо за советы.
"разрешать траффик только с MAC операторского роутера"
это как?
"ограничить входящий мультикаст и броадкаст"
а можно конкретнее?
> Спасибо за советы.
> "разрешать траффик только с MAC операторского роутера"
> это как?MAC аксес лист. Более точные рекомендации можно давать, зная параметры вашего подключения, в любом случае меры должны быть комплексные.
Нужно помнить, что чем сильнее закрутите гайки, тем больше геморою себе обеспечите в виде "а у меня не работает ютуп и однокашники".
> "ограничить входящий мультикаст и броадкаст"
> а можно конкретнее?storm-control
По ссылке на хабр об этом есть.
На свитчах циски куча фич по безопасности.DHCP Snooping
IP Source Gaurd
Dynamic ARP Inspection
IGMP Snooping
Storm Control
Protected Ports
Port Security
...Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" и читайте внимательней.
Спасибо.
Спасибо.
"storm-control broadcast pps 500 100
storm-control action shutdown
errdisable recovery cause storm-control
errdisable recovery interval 60"
как я понимаю, если заглушить на всех ВЛАНах STP, то не будет
актуально? по крайней мере в статье так сказаноучитывая заглушенный STP, статический ip на интерфейсе с провайдерами, настроеный L2 secure, остается только жесткая привязка к MAC устройства оператора. А если он поменяет девайс (на что имеет полное право) а я буду на Канарах....
> А если он
> поменяет девайс (на что имеет полное право) а я буду на
> Канарах....Информационная безопасность это всегда компромисс. Каждый сам выбирает границу, когда пора остановиться.
На шторм контроль не надо шатдаунов, достаточно просто ограничить скорость, чтобы оно хоть как-то работало.
На кой тушить STP на всех VLAN? Речь идет о единственном порту - стыке с оператором. Включить там bpdu filter и все. Не надо ничего тушить.
>[оверквотинг удален]
> DHCP Snooping
> IP Source Gaurd
> Dynamic ARP Inspection
> IGMP Snooping
> Storm Control
> Protected Ports
> Port Security
> ...
> Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide"
> и читайте внимательней.Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например...
>[оверквотинг удален]
>> Dynamic ARP Inspection
>> IGMP Snooping
>> Storm Control
>> Protected Ports
>> Port Security
>> ...
>> Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide"
>> и читайте внимательней.
> Все это есть и в китайских L2+ свитчах, не говоря о всяких
> DLink-ах и Zyxel например...Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь нормальный IOS).
>>> На кой тушить STP на всех VLAN?на этом свиче у меня линки на операторов, на граничные устройства и пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще? там в каждом ВЛАНе по 10 mac-ов
>> Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например...
> Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь
> нормальный IOS).А еще у китайцев написано, а не реализовано
>>>> На кой тушить STP на всех VLAN?
> на этом свиче у меня линки на операторов, на граничные устройства и
> пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще?
> там в каждом ВЛАНе по 10 mac-овгости патчкордом две розетки не соединят, думаешь?
> гости патчкордом две розетки не соединят, думаешь?так они не закроссированы, свич в серверной. Если только эникеи постараются, но их за это жестоко караю выключением Инета. За оставленную соплю на пачт-панели на один день, а такая петелька им надолго обойдется.