Waarom kan een loop nog steeds de boel platleggen

Spanning tree protocol zou dit toch moeten voorkomen? Of niet?

HP heeft ook loop protect, weet alleen niet of dat ook op die series kan.

Storm Control? Spanning-tree? en zo heb je nog wel meer manieren om dit te voorkomen..

Een iets of wat deftige switch blokkeert gewoon permanent die poort. Anno 2008 wel verschillende keren meegemaakt. Niet te doen gewoon dat gewoon HEEL het netwerk eruit lag :-).

Bijna elke managed switch doet dit...

Verdiep je eens in Spanning Tree Protocol en Broadcast Storm Control en alle variaties daarin...

-edit-
Jouw genoemde switches supporten dit ook, kwestie van goed instellen dan heh, RTFM ...

[ Voor 26% gewijzigd door Enforcer op 19-08-2016 21:04 ]

Aapmansz schreef op vrijdag 19 augustus 2016 @ 20:44:
[...]


Wat zijn dan wel deftige switches?
Vind het niet zo fijn om uit mijn nest gebeld te worden.

Als ik netwerk loops kan voorkomen dan gaarne merken en types roepen

Op de procurve 2520 en 2530 kan het. Lijkt me sterk dat het in een hogere serie niet kan.

Een bofh oplossing is gewoon niet elke outlet patchen op de switch.

[ Voor 8% gewijzigd door Domino op 19-08-2016 21:04 ]

Yarisken schreef op vrijdag 19 augustus 2016 @ 19:56:
Een iets of wat deftige switch blokkeert gewoon permanent die poort. Anno 2008 wel verschillende keren meegemaakt. Niet te doen gewoon dat gewoon HEEL het netwerk eruit lag :-).

Staat niet altijd standaard aan, zelf HP Pro Curves aan de hand gehad.
Weet niet precies, maar volgensmij kost het performance.

Verder zoveel mogelijk netwerkpoorten en/of kabels van medewerkers verborgen houden.

Voor zover ik lees staat het L2 switches standaard aan, bij de L3 capable devices standaard uit...
Dus idd, toch effe inlezen. Je hardware doet wel degelijk verschillende STP-varianten & features ... mogelijks staat er niets aan...

Doe eens een "show spanning-tree" ofzo ?

Domino schreef op vrijdag 19 augustus 2016 @ 21:03:
[...]


Op de procurve 2520 en 2530 kan het. Lijkt me sterk dat het in een hogere serie niet kan.

Een bofh oplossing is gewoon niet elke outlet patchen op de switch.

Wat is daar BOFH aan? is standaard practice in de meeste bedrijven waar ik ben geweest. Niet alles word gepatched. Sommige ruimtes hebben 400+ wallpoortjes.. dat is.. aardig wat switches als maar 10% word gebruikt.

Jouw switches kunnen dit gewoon. Echter is dit geen default config (er zijn situaties waarin je dit juist niet wil).

https://www.google.nl/url...g2=-Rg2_HnOg9BsR0mlpNXdrQ

[ Voor 7% gewijzigd door _Hades_ op 19-08-2016 22:28 ]

Grvy schreef op vrijdag 19 augustus 2016 @ 21:46:
[...]


Wat is daar BOFH aan? is standaard practice in de meeste bedrijven waar ik ben geweest. Niet alles word gepatched. Sommige ruimtes hebben 400+ wallpoortjes.. dat is.. aardig wat switches als maar 10% word gebruikt.

Is ook standard practice. Alleen niet voor je eindgebruikers. Die zien daar niks van.

En als je dan al alle poorten patched zet dan op zijn minst 802.1x aan. Of disable alle ongebruikte poorten.

Vandaag de dag is het makkelijker om als schoonmaker een laptop met ethernet mee te nemen en een netwerk te hacken dan via het WIFI netwerk.

Voor STP werkt BDPU Protection en loop protect inderdaad prima, maar ik zou nog wat verder gaan in je beveiliging.

Dat mensen zo'n switch aansluiten is vervelend, maar als je op die port bijvoorbeeld 802.1x aan had zoals knutsel smurf aangaf was dit niet gebeurt, maar port-security kan daarbij ook helpen met het limiteren van het aantal maximale MAC adressen. Dit voorkomt ook ook een mac-flooding aanval die je heel makkelijk kan uitvoeren met bijvoorbeeld macof.

Verder inderdaad alle poorten die niet worden gebruikt uitzetten en in een ongebruikt VLAN.

Op dit moment zou dit allemaal mogelijk (kunnen) zijn binnen je netwerk:
- STP loops
- Switches die niet van jouw zijn die root bridge kunnen worden
- MAC floods
- ARP Cache Posioning
- DHCP starvation attack
- DHCP spoofing
- VLAN Hopping

Zoek maar eens wat van deze termen op en kijk hoe je het netwerk beter kan beveiligingen. Voor je Switches zoek model + Access Secuity Guide dan krijg je genoeg hits op Google. Verder het signaleren kan je toch doen door logging aan te zetten op je switches en te laten sturen naar een syslog server ofzo?

Over het draadloos netwerk, het gaat er ook om dat het draadloos netwerk veilig is, niet alleen beter. Dus bij het draadloze netwerk ook goed onderzoeken hoe je het wilt gaan beveiligen.

[ Voor 13% gewijzigd door Zenix op 22-08-2016 19:27 ]

Aapmansz schreef op maandag 22 augustus 2016 @ 18:58:
Volgens de info van _Hades_ is loopdetectie per poort in te stellen, ga dus beginnen met loopdetectie inschakelen voor risico ruimtes.

Nope. Aanzetten voor alle ruimtes waar eindapparatuur staat. Afgezien van het welbekende nekschot voor meegenomen switches. Jij bepaald wat er aan je netwerk hangt, en niemand anders.

STP uitzetten voor servers.

Verwijderd schreef op vrijdag 19 augustus 2016 @ 19:49:
Spanning tree protocol zou dit toch moeten voorkomen? Of niet?

Inderdaad. Hier heb je STP voor.

HollowGamer schreef op vrijdag 19 augustus 2016 @ 21:04:
[...]

Staat niet altijd standaard aan, zelf HP Pro Curves aan de hand gehad.
Weet niet precies, maar volgensmij kost het performance.

Verder zoveel mogelijk netwerkpoorten en/of kabels van medewerkers verborgen houden.

STP kost geen performance. Het nadeel van STP is dat je link niet direct up is, maar dat STP eerst moet controleren of er geen loop is. Ik heb in het verleden met PXE clients gewerkt die daar niet tegen konden: bij het booten werd de link down en up gegooid, STP ging op de switch van start en de DHCP/BOOTP requests kwamen vervolgens niet aan bij de DHCP server.

_JGC_ schreef op donderdag 25 augustus 2016 @ 23:38:
[...]

STP kost geen performance. Het nadeel van STP is dat je link niet direct up is, maar dat STP eerst moet controleren of er geen loop is. Ik heb in het verleden met PXE clients gewerkt die daar niet tegen konden: bij het booten werd de link down en up gegooid, STP ging op de switch van start en de DHCP/BOOTP requests kwamen vervolgens niet aan bij de DHCP server.

Volgens deze site https://en.m.wikibooks.or...Tree_Protocol#Performance veroorzaakt het weldegelijk vertraging en andere ongemakt op het netwerk.

Verder worden er tegenwoordig ook andere protocollen/services gebruikt, die 'slimmer' zijn, jammer alleen dat er veel gesloten zijn of alleen met bepaalde merken werken.

HollowGamer schreef op vrijdag 26 augustus 2016 @ 00:01:
[...]

Volgens deze site https://en.m.wikibooks.or...Tree_Protocol#Performance veroorzaakt het weldegelijk vertraging en andere ongemakt op het netwerk.

Verder worden er tegenwoordig ook andere protocollen/services gebruikt, die 'slimmer' zijn, jammer alleen dat er veel gesloten zijn of alleen met bepaalde merken werken.

Tja daar gebruiken ze ook 802.1D STP, gewoon die-hard legacy 15+15+ mogelijk 20 sec outage. Daarnaast is de topologie in dat voorbeeld echt te sneu voor woorden. Gewoon 10 switches aan elkaar geknoopt Overigens kan je dat ook inperken met Spanning tree dmv BPDU max-hops. Maar dat is een ander verhaal.

Verder is spanning tree gewoon de bom (wanneer je niet L3 tot de access laag heb draaien / geen layered design heb.) Zeker MST / Rapid STP is gewoon hartstikke snel en helpt je prima van loops af. Ik zie niet veel redenen om het niet te draaien.

DiedX schreef op maandag 22 augustus 2016 @ 19:30:
[...]

Nope. Aanzetten voor alle ruimtes waar eindapparatuur staat. Afgezien van het welbekende nekschot voor meegenomen switches. Jij bepaald wat er aan je netwerk hangt, en niemand anders.

STP uitzetten voor servers.

Niet uitzetten, spanning-tree portfast (in Cisco lingo) gebruiken.

Yariva schreef op vrijdag 26 augustus 2016 @ 10:42:
[...]


Tja daar gebruiken ze ook 802.1D STP, gewoon die-hard legacy 15+15+ mogelijk 20 sec outage. Daarnaast is de topologie in dat voorbeeld echt te sneu voor woorden. Gewoon 10 switches aan elkaar geknoopt Overigens kan je dat ook inperken met Spanning tree dmv BPDU max-hops. Maar dat is een ander verhaal.

Verder is spanning tree gewoon de bom (wanneer je niet L3 tot de access laag heb draaien / geen layered design heb.) Zeker MST / Rapid STP is gewoon hartstikke snel en helpt je prima van loops af. Ik zie niet veel redenen om het niet te draaien.

Normaal gesproken wordt STP alleen nog maar gebruikt voor het zogenaamde BPDU block on edge.
Port trunking richting de core / distributie (in een VC) is wat tegenwoordig standaard is.

RedShift schreef op vrijdag 26 augustus 2016 @ 11:07:
[...]

Niet uitzetten, spanning-tree portfast (in Cisco lingo) gebruiken.

Voor HP devices de poort configureren als edge poort.

Kleine duit in het zakje:

Wij zetten veel 2920's in bij MKB klanten en bij ons in het DC.
Uit ervaring zetten we meestal standaard STP aan.

uit de config:


Dit heeft nog nooit geleid tot issues of vertragingen.

Hier en hier nog iets extra uitleg over de mogelijkheden.

Move PNS > NT

Aapmansz schreef op vrijdag 19 augustus 2016 @ 20:44:
[...]


Wat zijn dan wel deftige switches?
Vind het niet zo fijn om uit mijn nest gebeld te worden.

Als ik netwerk loops kan voorkomen dan gaarne merken en types roepen

Cisco 3850's. Niet goedkoop maar een 2960 kan het ook en verder zowat iedere managed switch...

Zenix schreef op maandag 22 augustus 2016 @ 19:22:
Voor STP werkt BDPU Protection en loop protect inderdaad prima, maar ik zou nog wat verder gaan in je beveiliging.

Dat mensen zo'n switch aansluiten is vervelend, maar als je op die port bijvoorbeeld 802.1x aan had zoals knutsel smurf aangaf was dit niet gebeurt, maar port-security kan daarbij ook helpen met het limiteren van het aantal maximale MAC adressen. Dit voorkomt ook ook een mac-flooding aanval die je heel makkelijk kan uitvoeren met bijvoorbeeld macof.

Verder inderdaad alle poorten die niet worden gebruikt uitzetten en in een ongebruikt VLAN.

Op dit moment zou dit allemaal mogelijk (kunnen) zijn binnen je netwerk:
- STP loops
- Switches die niet van jouw zijn die root bridge kunnen worden
- MAC floods
- ARP Cache Posioning
- DHCP starvation attack
- DHCP spoofing
- VLAN Hopping

Zoek maar eens wat van deze termen op en kijk hoe je het netwerk beter kan beveiligingen. Voor je Switches zoek model + Access Secuity Guide dan krijg je genoeg hits op Google. Verder het signaleren kan je toch doen door logging aan te zetten op je switches en te laten sturen naar een syslog server ofzo?

Over het draadloos netwerk, het gaat er ook om dat het draadloos netwerk veilig is, niet alleen beter. Dus bij het draadloze netwerk ook goed onderzoeken hoe je het wilt gaan beveiligen.

Het volgende probleem is dat je niet 1-2-3 iemand uitlegt dat een device aan arp flooding doet met honderden arp requests per seconde en daarom ze niet meer op het netwerk komen. "Wat is dat? Mijn computer doet het thuis prima, jouw schuld, fixen!"

[ Voor 68% gewijzigd door Nox op 01-09-2016 21:43 ]

Meeste moderne managed switches (Zoals bijvoorbeeld de TL-SG2008) heeft hier een optie voor.

Op TP link en Netgear switches (uit mijn hoofd) tref je al STP aan (managed varianten uiteraard), die zou ik zakelijk dan ook inzetten. Unmanaged = vroeg of laat problemen.

ZyXEL GS1920-24, vinkje in de GUI zetten en je kan lekker slapen
Zal straks is kijken of dat vinkje bij mij ook is gezet.