Filtrování IP provozu na základě DHCP (povolit těm co si prošli DHCP)

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
M.Š. možná chtěl říci, že switch daný port na základě odpovědi od Radiusu dynamicky strčí do určité VLANy? Celkem běžně použivané, že segmentuji stroje do sítě dle oddělení atd, takže to udělá na základě 802.1x (a je jedno zda na wifi nebo metalický ethernet) a lidi se stroji můžou volně cestovat v rámci vesmíru.
IMHO bych nemíchal 802.1x a DHCP snooping, každý řeší něco jiného. 802.1x nedovolí připojit neautorizované zařízení (nebo ho hodí do nějaké guest VLANy) a DHCP snooping následně hlídá, aby si dovolené zařízení nezměnilo IP na něco jiného, než mu poslal DHCP server. Obvkyle asi oboje používat současně. :-)
DHCP snooping bývá někdy společný s IP gueardem, který hlídá zase statické IP na portu. Pak bývá i oblíbený DHCP guard, který zase hlídá, že blokuje cizí DHCP servery, ať si někdo nespustí svůj falešný. A v telko segmentu zase funkce DHCP helper ve switchi, která přidává do DHCP požadavku doplňující info odkud žádost jde, takže pak přiděluje DHCP server IPčka koncovému zařízení na základě toho, kde je zařízení připojeno a ne MAC adres (takže když si koncák doma vymění router za jiný, tak dostane stejnou IP, protože je to pořád stejná koncová linka).
Pokud mám tupý switch, co nic z toho neumí, pak nezvývají nějaké ty obezličky typu ARP reply na routeru předtím, třeba Mikrotik to má relativně připraveno na toto, takže se dá celkem na pár kliknutí, ale neuhlídám už, kde mi pak klient po těch switchích obvykle cestuje...


robac

  • ***
  • 197
    • Zobrazit profil
    • E-mail
To na profi webu nikdo nenapíše o reply-only ARP modu, což je prakticky přesně to, na co se ptá? Nedělá to firewall, ale komunikace fungovat nebude.

Ale přijde mi, že si to tady Hamparle plete s Googlem. Vy si myslíte, že ta osoba není Pivotal?
Zajímavá otázka  :)
Ale vzhledem k tomu, že jsem hned po prvním přečtení pochopil, na co se ptá, tak bych řekl, že ne...

@M_D

Chtěl jsem říct tři různé věci:
1. komunikace s radius serverem je zabezpečená, ale pokud se někdo necítí na to, aby s jistotou udržoval šifrování, certfikáty, ..., pak by měl být prvním krokem i to, že samotné ověřování proti radiusu proběhne v jiné VLAN, než která se přiděluje (ne vždy se to totiž tak praktikuje)
2. 802.1x bych považoval za daleko účinnější první krok, než řešit DHCP snooping. Pokud něčím začít, tak 802.1x a to druhé jako něco navíc. Opačný postup nedává z hlediska bezpečnosti tak velký smysl.
3. pokud mi jde opravdu o bezpečnost, pak investice do switche není stěžejní položka; práce s nastavením a údržbou bezpečnosti je mnohem nákladnější, než nějaká škatule

Z dotazu tazatele jsem nabyl dojmu, že se zaobírá správnou myšlenkou (tj. co chránit), ale tápe v tom, jaké existují metody jak to provést. Přijde mi škoda vymýšlet řešení, které nikdy nemůže dojít k cíli - protože takovou ochranu obejde první geek, který se o to pokusí.

Jak běžná je funkce, že síťový prvek (kam se strká kabel do sítě) "nedovolí"* připojit "cizí zařízení"
Já teda nevím, jestli to příliš nezjednodušuji a zda OP má chytrý switch, ale řešil bych  to fyzickou bezpečností LAN zásuvek plus nastavit na portu switche ( <- LAN zásuvce) povolenou MAC adresu , pokud nad dírou nemám kontrolu, třeba na chodbě. Pokud někdo nemá kontrolu nad tím “kam se strká kabel” tak je něco špatně a hračičkovánínepomůže. YMMV
« Poslední změna: 05. 09. 2020, 21:38:12 od FKoudelka »

Sorry , typo
« Poslední změna: 05. 09. 2020, 21:41:13 od FKoudelka »


Já teda nevím, jestli to příliš nezjednodušuji a zda OP má chytrý switch, ale řešil bych  to fyzickou bezpečností LAN zásuvek plus nastavit na portu switche ( <- LAN zásuvce) povolenou MAC adresu , pokud nad dírou nemám kontrolu, třeba na chodbě. Pokud někdo nemá kontrolu nad tím “kam se strká kabel” tak je něco špatně a hračičkovánínepomůže. YMMV

Já k tomu doplním, že na switchích lze i nastavit např. to, že MAC adresa nemusí být dopředu nastavená, ale učí se dynamicky a povolí např. jen jednu změnu za den (nebo jiný časový rámec) a při porušení pravidel může dojít buďto k dočasnému nebo trvalému vypnutí portu + report přes AAA. To je takový dobrý kompromis mezi fyzickou bezpečností a snadnou spravovatelností.

S tím bych nesouhlasil. Stačí obyčejný radius server, a jestli se nepletu, dá se Radius naklikat i do Mikrotika.

Akorát do toho Mikrotika pak musí někdo přepisovat všechny uživatele a mazat je když odejdou z firmy. To je nesmysl, takže je potřeba to napojit na existující řešení jako třeba to AD.

Taky by asi bylo vhodné, když už dělám něco takovýho, aby uvnitř neběželo EAP-MD5, což bude asi znamenat potřebu nějaké správy certifikátu (minimálně na authentikaci toho Radius serveru když už ne klientů).

A ve spoustě případů bude taky potřeba guest VLANa, což nás obloukem vrací zpátky k tomu problému s obcházením DHCP serveru.

Pokial sa jedna o firmu, tak ta urcite ma LDAP server, na ktorom ma evidovanych vsetkych zamestnancov. A ten ma prepojeny na radius, cez ktory deleguje pristupy a opravnenia. A zaroven aj loguje aktivitu uzivatelov.

Radius sa da vyuzit roznymi sposobmi a hlavne sa da nastavit napr. overovanie menom heslom a az potom dhcp prideli ip, ked overi login a zaroven moze overovat aj mac adresu klienta. Radius vie mat data v mysql tabulke, takze nie je problem si k tomu spravit barz jaky web gui na spravu uzivatelov... Raketovu vedu by som s toho urcite nerobil. Existuju aj hotove riesenia na spravu radiusu...

Já teda nevím, jestli to příliš nezjednodušuji a zda OP má chytrý switch, ale řešil bych  to fyzickou bezpečností LAN zásuvek plus nastavit na portu switche ( <- LAN zásuvce) povolenou MAC adresu , pokud nad dírou nemám kontrolu, třeba na chodbě. Pokud někdo nemá kontrolu nad tím “kam se strká kabel” tak je něco špatně a hračičkovánínepomůže. YMMV

Já k tomu doplním, že na switchích lze i nastavit např. to, že MAC adresa nemusí být dopředu nastavená, ale učí se dynamicky a povolí např. jen jednu změnu za den (nebo jiný časový rámec) a při porušení pravidel může dojít buďto k dočasnému nebo trvalému vypnutí portu + report přes AAA. To je takový dobrý kompromis mezi fyzickou bezpečností a snadnou spravovatelností.
Jasně, diky za doplneni