LAN - zabezpeceni portu na switchi

Příspěvky, které nespadají do žádného z vytvořených fór.
LadaP
Příspěvky: 112
Registrován: 13 years ago

LAN - zabezpeceni portu na switchi

Příspěvekod LadaP » 2 months ago

Ahoj,

rád bych se zeptal zkušenějšícho kolegů.

Dostal jsem zadání z jedné firmy ohledně zabezpečení zásuvek.
Na základě MAC adresy připojeného zařízení se chtějí rozhodovat do jaké VLAN patří. Existuje nějaké implementace, která by toto zvládla? Koukal jsem na 802.1X, ale to neodpovídá tomuto zadání. Prosím nerozporujte, že MAC se dá podvrhnout atd..

Představa, firemní MAC zadána v radius serveru, switch ověří u radiusu zda ji zná, pokud ano nahodí na portu default nebo požadovanou VLAN.
Nezná danou MAC, port buď vypne nebo přiřadí definovanou VLAN.

díky
0 x

danno1771
Příspěvky: 27
Registrován: 7 years ago

Příspěvekod danno1771 » 2 months ago

Záleží aká veľká sieť, ale jednoducho switch nastavis počet vlan aj s mac adresami porty na ktoré sa majú použiť a Pc ktorý sa pripojí automaticky bude v danej vlane
0 x

LadaP
Příspěvky: 112
Registrován: 13 years ago

Příspěvekod LadaP » 2 months ago

8x 48 (52)port switch, ne vše obsazené. Tento rok, se bude komplet obměňovat.
0 x

rsaf
Příspěvky: 1089
Registrován: 12 years ago

Příspěvekod rsaf » 2 months ago

Blokaci na MAC adresy rozporovat budeme, anžto je to asi kravina. Ideálně, pokud je to Windows síť, nasadit 802.1x autentizaci s Microsoftím NAC.
0 x

ludvik
Příspěvky: 4117
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Třeba u edgecore je možno využít funkci Network access. Zatím jsem to nezkoušel osobně ... ale princip je ten, že switch pošle připojenou MAC na radius server (jako jméno i jako heslo) a provoz povolí pouze pokud se to povede (resp. neautentifikované mají tzv. guest vlan). Radius může i vracet atributy jako vlan či qos.

rsaf: ono ne na každé zařízení lze 802.1x nasadit ...
1 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

rsaf
Příspěvky: 1089
Registrován: 12 years ago

Příspěvekod rsaf » 2 months ago

Souhlasím, ale u takového zařízení (tiskárna, kamery) se to dá řešit vazbou na MAC + oddělením těchto zařízení do samostatné VLANy (omezený přístup na net i k jiným prostředkům v síti) a samozřejmě taky fyzickým umístěním (těžko někdo poleze do LAN tak, že rozebere kameru pod stropem).
Jinak ještě relativně použitelná funkce je ARP Inspection (ale na různých switchích se ty názvy trošku liší) - switch umožní na portu jen komunikaci IP adres, které byly předtím přiděleny DHCPčkem. Zabrání to "kradení adres" a je to celkem jednoduché na správu (stačí dělat statické rezervace na DHCP serveru a nemít žádný volný pool). Spoustu věcí to ale neřeší (přiřazení VLANy).
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1555
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 2 months ago

Máme nasazeno ve firmě. 800+ PC, HPE switche, Win AD, 802.1x, GVPR. Pár porodních bolestí bylo (např. vyladit timeouty, nekompatibilní síťovky v PC apod)
Tiskárny/multifunkce/servery a podobný věci v jiné vlaně.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

LadaP
Příspěvky: 112
Registrován: 13 years ago

Příspěvekod LadaP » 2 months ago

ludvik píše:Třeba u edgecore je možno využít funkci Network access. Zatím jsem to nezkoušel osobně ... ale princip je ten, že switch pošle připojenou MAC na radius server (jako jméno i jako heslo) a provoz povolí pouze pokud se to povede (resp. neautentifikované mají tzv. guest vlan). Radius může i vracet atributy jako vlan či qos.

rsaf: ono ne na každé zařízení lze 802.1x nasadit ...


děkuju, podívám se na to. Pár těchto switchů mám.
0 x

LadaP
Příspěvky: 112
Registrován: 13 years ago

Příspěvekod LadaP » 2 months ago

sub_zero píše:Máme nasazeno ve firmě. 800+ PC, HPE switche, Win AD, 802.1x, GVPR. Pár porodních bolestí bylo (např. vyladit timeouty, nekompatibilní síťovky v PC apod)
Tiskárny/multifunkce/servery a podobný věci v jiné vlaně.


certifikáty ofiko nebo self?
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1555
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 2 months ago

LadaP píše:
sub_zero píše:Máme nasazeno ve firmě. 800+ PC, HPE switche, Win AD, 802.1x, GVPR. Pár porodních bolestí bylo (např. vyladit timeouty, nekompatibilní síťovky v PC apod)
Tiskárny/multifunkce/servery a podobný věci v jiné vlaně.


certifikáty ofiko nebo self?


self, podepsano autoritou z AD
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

LadaP
Příspěvky: 112
Registrován: 13 years ago

Příspěvekod LadaP » 2 months ago

co na to MacOS, jaké Win máš v síti?
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1555
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 2 months ago

LadaP píše:co na to MacOS, jaké Win máš v síti?


MacOS u nás zakázáno :-D, Win 7 + 10, WiFi radiusem, opet selfsigned
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

LadaP
Příspěvky: 112
Registrován: 13 years ago

Příspěvekod LadaP » 2 months ago

to se ti to pak mluví :D
Maca ma primárně management a majitel..., klasika.
0 x

rsaf
Příspěvky: 1089
Registrován: 12 years ago

Příspěvekod rsaf » 2 months ago

Jistě i na ně půjde nahrát certifikát vystavený Windows CA. Třeba na rok, dva.

Certifikáty nejsou SELF ale vystavené Windows CA. Její politika (defaultní) automaticky vystavuje certifikát každému ověřenému PC, které si o něj řekne.
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1555
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 2 months ago

LadaP píše:to se ti to pak mluví :D
Maca ma primárně management a majitel..., klasika.


hele, kde je problem pro jabka udelat zvlast VLANu bez 802.1x? Puvodne jsme chteli i wifiny nacpat do produkcni VLANy, aby se uzivatele z NB a Tabletu nemuseli tocit na L3 sw popr. az na FortiGatu.
A protoze mame SSL inspekci veskeryho provozu do netu, narazil jsem na problem nemoznosti (resp. je to asi mozny, ale vysral bych se na to) importu certifikatu do iOS (sam pouzivam). Tak jsme udelali WiFi na separatni VLANe a neni s tim problem. Asi 120 UniFi, navazany na NAC, overeni Radiusem z AD.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák


Zpět na „Nezařazené“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů