Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

public wifi beveiligen VLAN acl

Pagina: 1
Acties:

dinsdag 22 september 2015 21:55

Acties:
  • reconf
  • Registratie: December 2008
  • Laatst online: 12-10-2024

reconf

Topicstarter
Met het doel mijn public wifi netwerk beter te beveiligen heb ik op de HP Procurve switch waar alle accesspoints voor het gastennetwerk op zijn aangesloten een VLAN ACL gemaakt. De ACL ziet er als volgt uit:

ip access-list extended "Gasten_VL"
10 permit ip host 172.16.0.1 172.16.0.0/21
20 permit ip 172.16.0.0/21 host 172.16.0.1
40 deny ip 172.16.0.0/21 172.16.0.0/21 log
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit

Hierbij is 172.16.0.1 de gateway voor internet waar het hele subnet 172.16.0.0/21 vanzelfsprekend toegang toe heeft. Daarna volgt een deny voor alle traffic in dat subnet onderling, los van verkeer naar en vanaf de gateway zou dat dus niet mogelijk moeten zijn. Als laatste een permit voor de rest van het verkeer (buiten het subnet, internet).

Het gekke is dat als ik een ip scanner laat lopen, vanaf een willekeurige pc in dat netwerk, ik nog steeds netjes ip adressen van alle clients in dat netwerk krijg te zien. Dit zou toch niet mogen of werkt dat op een ander niveau? Andere aanvullingen om het netwerk nog verder dicht te timmeren zijn ook welkom.

woensdag 23 september 2015 07:19

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 15:20

Thralas

Ik ben niet bekend met L3 switches, dus het kan goed dat ik iets onlogisch roep, maar blokkeert zo'n access list ook ARP traffic (L2) binnen een VLAN? Anders is dat sowieso een verklaring.

Verder, kun je onderling wel pingen? Dat zou een extra aanwijzing kunnen bieden..

woensdag 23 september 2015 07:36

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:27

DiedX

Je moet op je interface nog wel naar de acl verwijzen. Dat wel gedaan?

Edit, vanuit http://www.cisco.com/c/en...guide/scg_2960/swacl.html

Switch(config)# ip access-list extended marketing_group
Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet
Switch(config-ext-nacl)# deny tcp any any
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
The marketing_group ACL is applied to incoming traffic on a port.

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# ip access-group marketing_group in

Lezen is moeilijk. HP ProCurve != Dell

[ Voor 83% gewijzigd door DiedX op 23-09-2015 19:41 . Reden: Voorbeeld toegevoegd - Edit 2. LEZEN.... ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 23 september 2015 18:13

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 28-11 15:37

mbaltus

Als je een ACL op een VLAN zet, dan grijpt dat neem ik aan in op het verkeer tussen VLANs, dat zegt niets over het verkeer over poorten binnen het VLAN. Een Poort is een L2 begrip en IP (en inter-VLAN) een L3 begrip, vandaar dat dat niet zo maar gaat.

In je Access Points moet je traffic isolation aanzetten om wireless systemen onderling te scheiden.

Vervolgens op de switch Port Protection (!=Port Security), als je dat opzet, blokkeer je verkeer tussen switchpoorten onderling op de(zelfde) switch. Zorg er wel voor dat de router en de DHCP server niet op een protected port zitten, want dan werkt dat niet meer.

Het commando wat je zoekt is
code:
1

[no] protected-ports <port-list>

The trouble with doing something right the first time is that nobody appreciates how difficult it is

woensdag 23 september 2015 18:41

Acties:
  • reconf
  • Registratie: December 2008
  • Laatst online: 12-10-2024

reconf

Topicstarter
Volgens mij haal je RACL's en VACL's door elkaar. Een VACL werkt binnen een VLAN, een RACL (routed) werkt tussen VLANS.
De 'Protected-ports'-optie kende ik nog niet, daar ga ik naast de accesspoint isolation ook even mee aan de slag. Echter.. als je VACL goed staat heb je de protected port optie eigenlijk niet nodig, want die VACL blokkeert traffic binnen je subnet. Daarnaast communiceren mijn AP's met elkaar dus kan ik die poorten niet zonder meer protected maken.

[ Voor 13% gewijzigd door reconf op 23-09-2015 18:45 ]

donderdag 24 september 2015 12:23

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 28-11 15:37

mbaltus

I stand corrected, VACL lijken inderdaad op IP niveau te binnen een VLAN.

Hoe heb je de VACL dan toegekend aan het VLAN:
Met duidelijk de vlan optie erbij?
[code]
HP-3500yl-24G (config)# vlan 2
HP-3500yl-24G (vlan-2)# ip access-group Gasten_VL vlan
HP-3500yl-24G (vlan-2)# exit
[/code]

Je filtert het IP verkeer (de set van TCP en UDP), maar moetje ICMP niet apart benoemen? een IP scanner werkt neem ik aan op basis van ICMP en zal dus misschien niet gehouden zijn aan de ACL?

[ Voor 25% gewijzigd door mbaltus op 24-09-2015 12:27 ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

donderdag 24 september 2015 12:29

Acties:
  • dhs
  • Registratie: Januari 2010
  • Laatst online: 22-10-2024

dhs

Hmm ja, heb ik even aan gedacht. Maar ICMP is ook gewoon IP verkeer. ICMP staat zegmaar naast TCP en UDP, maar onder IP.

Misschien gaat het ip scannen op basis van ARP?

donderdag 24 september 2015 12:42

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 28-11 15:37

mbaltus

Op zich waar, maar in ACLs wordt het nog wel eens apart benoemd (wellicht ook zoals TCP en UDP, maar toch).

Zie onderstaand stuk uit deze manual

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

USING THE CLI
To configure an extended access list that blocks all Telnet traffic received on port 1/1 from IP host 209.157.22.26,
enter the following commands.
HP9300(config)# access-list 101 deny tcp host 209.157.22.26 any eq telnet log
HP9300(config)# access-list 101 permit ip any any
HP9300(config)# int eth 1/1
HP9300(config-if-1/1)# ip access-group 101 in
HP9300(config)# write memory
Here is another example of commands for configuring an extended ACL and applying it to an interface. These
examples show many of the syntax choices. Notice that some of the entries are configured to generate log entries
while other entries are not thus configured.
HP9300(config)# access-list 102 perm icmp 209.157.22.0/24 209.157.21.0/24
HP9300(config)# access-list 102 deny igmp host rkwong 209.157.21.0/24 log
HP9300(config)# access-list 102 deny igrp 209.157.21.0/24 host rkwong log
HP9300(config)# access-list 102 deny ip host 209.157.21.100 host 209.157.22.1 log
HP9300(config)# access-list 102 deny ospf any any log
HP9300(config)# access-list 102 permit ip any any
The first entry permits ICMP traffic from hosts in the 209.157.22.x network to hosts in the 209.157.21.x network.


Zou dat hier ook niet zo zijn?

The trouble with doing something right the first time is that nobody appreciates how difficult it is

donderdag 24 september 2015 13:43

Acties:
  • dhs
  • Registratie: Januari 2010
  • Laatst online: 22-10-2024

dhs

Ik zie het nu inderdaad, maar hem maakt geen verschil. Het pingen werkt namelijk al niet meer, waarschijnlijk valt die ook onder de "deny ip" regel. Wel benieuwd hoe het netwerk afgescand wordt..
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq