HP ProCurve 2626 IP/Port assignment - Serversoftware en clouddiensten

dinsdag 28 maart 2006 14:46

Acties:

Topicstarter

Ik zit te kijken naar deze switch. Aan elke poort hangt een PC, server of ander apparaat, en ik wil per poort er 1 of meerdere IP's instellen die daarop gebruikt mogen worden. Ik kan echter (ook in de search en in HP documentatie) nergens vinden of dit mogelijk is met deze switch.

Kan iemand mij het verlossende antwoord geven?

dinsdag 28 maart 2006 15:28

Acties:

Verwijderd

Bedoel je port security, dat enkel die ip's op die poort mogen?
Dan zal je MAC based port security moeten toepassen vrees ik.

dinsdag 28 maart 2006 15:34

Acties:

Martijn

Topicstarter

Verwijderd schreef op dinsdag 28 maart 2006 @ 15:28:
Bedoel je port security, dat enkel die ip's op die poort mogen?
Dan zal je MAC based port security moeten toepassen vrees ik.

Ik bedoel dat ik bijv. port 1 IP x.x.x.1-8 mag gebruiken, en port 2 IP x.x.x.9-16 etc.
Port 2 mag IP x.x.x.7 dus bijvoorbeeld niet kunnen gebruiken...

dinsdag 28 maart 2006 15:44

Acties:

Verwijderd

Ip lockdown dus, dat doe je zo;

interface 1
ip-lockdown 192.168.0.1/24
exit

dinsdag 28 maart 2006 15:50

Acties:

kell.nl

Fizzgig's evil twin

Als je dit wilt voor beveiligingsredenen, laat ik je dan uit de illusie helpen. IP addressen zijn nog wel het allergemakkelijkst om te spoofen, dus je krikt de beveiliging op deze manier niet echt op.

Als je op een "echte" manier apparaten wilt beperken op lokatie, dan kun je het beste kijken naar 802.1X. Deze standaard zorgt ervoor dat poorten in eerste instantie dicht zijn (geen verkeer toelaten), en pas open gaan als er een authenticatie en authorisatie slag plaatsvind.
Als je dan machine authenticatie gebruikt, dan kun je de machines identificeren. Als je daarbij IDM (Identity Driven Manager) van HP ProCurve gebruikt, dan kun je de apparaten beperken op welke poorten zij toegelaten worden op het netwerk. Voor apparaten die geen 802.1X ondersteunen (zoals bijvoorbeeld de printers) zou je MAC authenticatie kunnen gebruiken.

802.1X is trouwens wel heel veilig als je het goed inricht. Dus je krikt je beveiliging direct een stuk op omdat niet zomaar iedereen vanalles kan aansluiten op je netwerk (bijvoorbeeld een accesspoint, waardoor je effectief je hele netwerkomgeving "op straat gooit"). Voor meer info over IDM:
http://www.hp.com/rnd/products/management/idm/overview.htm

[ Voor 17% gewijzigd door kell.nl op 28-03-2006 15:54 . Reden: ip-lockdown -> nieuwe feature, vergeten ]

dinsdag 28 maart 2006 16:13

Acties:

Martijn

Topicstarter

kell.nl schreef op dinsdag 28 maart 2006 @ 15:50:
Als je dit wilt voor beveiligingsredenen, laat ik je dan uit de illusie helpen. IP addressen zijn nog wel het allergemakkelijkst om te spoofen, dus je krikt de beveiliging op deze manier niet echt op.

Als je op een "echte" manier apparaten wilt beperken op lokatie, dan kun je het beste kijken naar 802.1X. Deze standaard zorgt ervoor dat poorten in eerste instantie dicht zijn (geen verkeer toelaten), en pas open gaan als er een authenticatie en authorisatie slag plaatsvind.
Als je dan machine authenticatie gebruikt, dan kun je de machines identificeren. Als je daarbij IDM (Identity Driven Manager) van HP ProCurve gebruikt, dan kun je de apparaten beperken op welke poorten zij toegelaten worden op het netwerk. Voor apparaten die geen 802.1X ondersteunen (zoals bijvoorbeeld de printers) zou je MAC authenticatie kunnen gebruiken.

802.1X is trouwens wel heel veilig als je het goed inricht. Dus je krikt je beveiliging direct een stuk op omdat niet zomaar iedereen vanalles kan aansluiten op je netwerk (bijvoorbeeld een accesspoint, waardoor je effectief je hele netwerkomgeving "op straat gooit"). Voor meer info over IDM:
http://www.hp.com/rnd/products/management/idm/overview.htm

Nee, is niet voor beveiligingsredenen, ik wil per PC/server gewoon IP's indelen die per poort gebruikt worden.

Wowbagger, THX

dinsdag 28 maart 2006 20:20

Acties:

alt-92

ye olde farte

kell.nl schreef op dinsdag 28 maart 2006 @ 15:50:
Als je op een "echte" manier apparaten wilt beperken op lokatie, dan kun je het beste kijken naar 802.1X.

Dan heb ik een leuk nieuwtje voor je.
Het werkt niet.

Als ik een hub ertussen douw wordt die poort weliswaar door een PC met 802.1x cert geopend maar dan kan ik er ook bij met mijn hacktool laptop

En dan is het simpel macspoofen (hub, weet je nog?) en hoppa.
Een rogue host op je netwerk.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 29 maart 2006 10:08

Acties:

thamoosio

Ja-haaaaaa

BackSlash32 schreef op dinsdag 28 maart 2006 @ 20:20:
[...]

Dan heb ik een leuk nieuwtje voor je.
Het werkt niet.

Als ik een hub ertussen douw wordt die poort weliswaar door een PC met 802.1x cert geopend maar dan kan ik er ook bij met mijn hacktool laptop
En dan is het simpel macspoofen (hub, weet je nog?) en hoppa.
Een rogue host op je netwerk.

Hij zegt dat "niet zomaar iedereen" iets kan aansluiten. Ik neem aan dat jij bovengemiddelde kennis van zaken hebt. Gemiddelde gebruikers moeten jouw bovenstaande zin 10x doorlezen voordat er iets van gesnapt wordt.

En mijns inziens wordt de beveiliging weldegelijk opgekrikt.. hij wordt alleen niet waterdicht gemaakt.

sorry voor offtopic

Bij voorbaat sorry..

woensdag 29 maart 2006 17:02

Acties:

MikeN

Let erop dat je voor ip-lockdown wel een vrij nieuwe firmware nodig hebt en dat het zo zijn beperkingen heeft (je subnet moet hetzelfde zijn per port group)

woensdag 29 maart 2006 17:23

Acties:

Martijn

Topicstarter

MikeN schreef op woensdag 29 maart 2006 @ 17:02:
Let erop dat je voor ip-lockdown wel een vrij nieuwe firmware nodig hebt en dat het zo zijn beperkingen heeft (je subnet moet hetzelfde zijn per port group)

Mja, ok, apparaat is net binnen, brandnew, dus zal wel laatste firmware op zitten, en anders update ik hem wel. Zelfde subnet per portgroup maakt niet uit, ik ben al blij dat het kan

woensdag 29 maart 2006 19:59

Acties:

_Arthur

blub

Martijn schreef op woensdag 29 maart 2006 @ 17:23:
Mja, ok, apparaat is net binnen, brandnew, dus zal wel laatste firmware op zitten, en anders update ik hem wel.

Dat je hem net binnen hebt zegt weinig over de firmware die het apparaat heeft bij uitleveren.
Dus even controleren en indien mogelijk voorzien van een recente firmware.

woensdag 29 maart 2006 20:15

Acties:

alt-92

ye olde farte

thamoosio schreef op woensdag 29 maart 2006 @ 10:08:
[...]

Hij zegt dat "niet zomaar iedereen" iets kan aansluiten. Ik neem aan dat jij bovengemiddelde kennis van zaken hebt. Gemiddelde gebruikers moeten jouw bovenstaande zin 10x doorlezen voordat er iets van gesnapt wordt.

De gemiddelde gebruiker trekt niet aan de bel als er iemand anders opeens met een laptop aan komt zetten en die in het netwerk plugt.
Ja, je hebt fysiek toegang nodig, maar dat is wel zóó simpel...

Punt is dat de crafty indringer tegen $medewerker zegt dat ie dat ding er wel even tussen zet, dan 'heb je geen last van me zometeen' en je bent al het haasje.

En mijns inziens wordt de beveiliging weldegelijk opgekrikt.. hij wordt alleen niet waterdicht gemaakt.

Je verlegt het probleem naar de menselijke factor, en da's vragen om dikke shit imho

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 30 maart 2006 08:55

Acties:

Verwijderd

Als het je apparaat dat 802.1x authenticatie gebruikt ook nog eens wijsmaakt dat er maar één mac adres op die poort kan zitten dan kan je crafty intruder weer naar huis. De gebruiker zijn toegang ook nog eens afnemen is iets te veel van het goede.