Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Cliënt netwerk access met specifiek IP.

Pagina: 1
Acties:

Vraag

maandag 31 oktober 2016 15:23

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 14:54

MasterL

Moderator Internet & Netwerken
Topicstarter
Hallo,

Ik heb een vraag/case waar ik niet zo goed uit kom, de case is als volgt:
- Verschillende cliënts/machines hebben een (static) IP.
- Deze cliënts/machines mogen alleen het netwerk op met dat specifieke IP.
- Alle devices zitten in principe in hetzelfde netwerk/VLAN.
- Alle devices moeten wel met elkaar kunnen communiceren (Layer2 netwerk niet routed).

Het enige wat ik zou kunnen bedenken is een ACL aanmaken per fysieke port maar is hier een
nettere oplossing voor?

Als ik bijvoorbeeld kijk naar mijn privé Ziggo aansluiting, ik heb een IP adres 95.xx.xxx.10/24 met als
gateway 95.xx.xxx.1. Echter ik kan alleen het netwerk op met .10 (gelukkig) niet met .11 o.i.d.
Ik kan mij moeilijk voorstellen dat Ziggo voor elke end user een ACL heeft.
Zou iemand mij een zetje in de juiste richting kunnen geven?

Alle reacties

maandag 31 oktober 2016 16:29

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 15:05

lordgandalf

Wat heb je zelf al gevonden ?

Bij ziggo heb je de .10 toegewezen gekregen door de DCHP server van ziggo en door de lange leasetijd soms jaren verandert dit ip niet snel maar het kan wel gebeuren.
Je zou kunnen kijken naar DHCP met mac filtering als je router dat support hierbij lock je bepaalde pcs op een ip aan de hand van een mac adres. je kunt ook een acl per poort gebruiken met een mac dan kan niemand anders dan dat mac adres op die poort werken.
Je kunt ook vlans gebruiken en dan de router deze vlans accepteren en doorzetten naar internet ieder zijn eigen virtueel netwerk

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

maandag 31 oktober 2016 16:32

Acties:
  • borft
  • Registratie: Januari 2002
  • Laatst online: 15:46

borft

wat je zou kunnen doen is firewall rules genereren op basis van je DHCP config. Dat is natuulijk niet helemaal foolproof (want mac adressen kan je ook spoofen). Maar als je dat combineert met MAC filteren op de switchport ben je redelijk veilig ;)

maandag 31 oktober 2016 20:10

Acties:
  • Blankinho
  • Registratie: April 2007
  • Laatst online: 23-11 09:50

Blankinho

Een static-mapping voor die hosts opvoeren is neem ik aan voldoende dan? Ze krijgen ten allen tijde via DHCP dat static adres.

De users op de client kunnen zelf ip-configuratie aanpassen of is dit afgeschermd?

dinsdag 1 november 2016 12:03

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 14:54

MasterL

Moderator Internet & Netwerken
Topicstarter
Bedankt voor de reacties, na wat leeswerk ga ik Dynamic ARP inspection gebruiken i.c.m. DHCP snooping.

donderdag 3 november 2016 20:48

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

MasterL schreef op dinsdag 01 november 2016 @ 12:03:
Bedankt voor de reacties, na wat leeswerk ga ik Dynamic ARP inspection gebruiken i.c.m. DHCP snooping.
Huh? DAI is een security feature om man in the middle attacks te voorkomen (en is afhankelijk van DHCP snooping). Daarmee voorkom je inderdaad dat iemand statisch een ander IP instelt dan hij van de DHCP server gekregen heeft. Echter, als je geen gebruik maakt van DHCP maar van statische adressen (zoals je aangeeft in je openingspost) moet je een ARP ACL maken en die toepassen op het VLAN.

Persoonlijk snap ik eigenlijk gewoon niet zo goed wat je nou precies wilt en waarom je dat wilt dus het is lastig advies geven. Een provider doet volgens mij authenticatie op basis van RADIUS. Daarmee kun je ook een vast IP meegeven per gebruikersaccount.

Vicariously I live while the whole world dies

vrijdag 4 november 2016 09:04

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 15:05

lordgandalf

Wat ik uit zijn verhaal begrijp is dat hij een een mac aka fysieke hardware aan een ip adres wil knopen.
Zodat alleen dat ip met die machine op het netwerk mag.

Dat kan door bijv.

1. een ip aan een mac te koppelen in de dhcp dan krijgt die pc altijd dat adress.
2. een poort koppelen aan een mac via port security of een soort gelijke optie

Dan krijgt een ip altijd maar 1 ip en alleen maar dat ip en dan alleen dat mac adress toestaan op een port kan je alleen op die poort met die machine connecten met het netwerk.

Maar nogmaals wat heb je zelf gedaan en onderzocht ik mis een beetje het eigen initiatief.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 4 november 2016 11:36

Acties:
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 14:54

MasterL

Moderator Internet & Netwerken
Topicstarter
Vicarious schreef op donderdag 03 november 2016 @ 20:48:
[...]

Huh? DAI is een security feature om man in the middle attacks te voorkomen (en is afhankelijk van DHCP snooping). Daarmee voorkom je inderdaad dat iemand statisch een ander IP instelt dan hij van de DHCP server gekregen heeft. Echter, als je geen gebruik maakt van DHCP maar van statische adressen (zoals je aangeeft in je openingspost) moet je een ARP ACL maken en die toepassen op het VLAN.

Persoonlijk snap ik eigenlijk gewoon niet zo goed wat je nou precies wilt en waarom je dat wilt dus het is lastig advies geven. Een provider doet volgens mij authenticatie op basis van RADIUS. Daarmee kun je ook een vast IP meegeven per gebruikersaccount.
Klopt zo draait het nu ook in mijn testlab, via een commando kan er (static) een entry worden toegevoegd
aan de ARP table zodat een static IP geen probleem is.
lordgandalf schreef op vrijdag 04 november 2016 @ 09:04:
Wat ik uit zijn verhaal begrijp is dat hij een een mac aka fysieke hardware aan een ip adres wil knopen.
Zodat alleen dat ip met die machine op het netwerk mag.

Dat kan door bijv.

1. een ip aan een mac te koppelen in de dhcp dan krijgt die pc altijd dat adress.
2. een poort koppelen aan een mac via port security of een soort gelijke optie

Dan krijgt een ip altijd maar 1 ip en alleen maar dat ip en dan alleen dat mac adress toestaan op een port kan je alleen op die poort met die machine connecten met het netwerk.

Maar nogmaals wat heb je zelf gedaan en onderzocht ik mis een beetje het eigen initiatief.
Niet perse, wat ik wil voorkomen is dat er IP conflicten ontstaan.
Een paar opmerkingen hierbij:
- Er is geen controle over een aantal apparaten in het netwerk (deze beschouw ik als hostile).
- Ik wil niet dat deze apparaten IP-adressen zelf kunnen aanpassen.
- Het moet in 1 Vlan zitten i.v.m. multicast toepassingen (wil liever geen multicast router o.i.d. gebruiken).

Betreft eigen initiatief? Ik vraag in mijn openingspost om een zetje in de juiste richting, die heb ik gekregen.
Ondertussen draait DAI netjes in mijn testlab dus met dat betreft ben ik klaar met dit topic.

vrijdag 4 november 2016 11:44

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

MasterL schreef op vrijdag 04 november 2016 @ 11:36:
[...]


Klopt zo draait het nu ook in mijn testlab, via een commando kan er (static) een entry worden toegevoegd
aan de ARP table zodat een static IP geen probleem is.


[...]


Niet perse, wat ik wil voorkomen is dat er IP conflicten ontstaan.
Een paar opmerkingen hierbij:
- Er is geen controle over een aantal apparaten in het netwerk (deze beschouw ik als hostile).
- Ik wil niet dat deze apparaten IP-adressen zelf kunnen aanpassen.
- Het moet in 1 Vlan zitten i.v.m. multicast toepassingen (wil liever geen multicast router o.i.d. gebruiken).

Betreft eigen initiatief? Ik vraag in mijn openingspost om een zetje in de juiste richting, die heb ik gekregen.
Ondertussen draait DAI netjes in mijn testlab dus met dat betreft ben ik klaar met dit topic.
DAI + IPSG is precies de oplossing die je zoekt. Let wel dat DHCP requests gespoofed kunnen worden.
Als je het 100% goed wilt doen, zou je deze eigenlijk moeten authenticeren middels een RADIUS server. Je kan hiervoor 'option 82' gebruiken. Als je switch DAI+IPSG ondersteunt, ondersteunt hij ook option 82 insertion.

De actuele opbrengst van mijn Tibber Homevolt

vrijdag 4 november 2016 15:59

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

JackBol schreef op vrijdag 04 november 2016 @ 11:44:
[...]


DAI + IPSG is precies de oplossing die je zoekt. Let wel dat DHCP requests gespoofed kunnen worden.
Als je het 100% goed wilt doen, zou je deze eigenlijk moeten authenticeren middels een RADIUS server. Je kan hiervoor 'option 82' gebruiken. Als je switch DAI+IPSG ondersteunt, ondersteunt hij ook option 82 insertion.
Hij wil volgens mij geen DHCP, maar juist statisch de adressen toekennen. Met IPSG bedoel je IP Source Guard? In dat geval moet er als je geen DHCP gebruikt ook een ip source binding geconfigureerd worden.

Vicariously I live while the whole world dies

vrijdag 4 november 2016 16:32

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Vicarious schreef op vrijdag 04 november 2016 @ 15:59:
[...]

Hij wil volgens mij geen DHCP, maar juist statisch de adressen toekennen. Met IPSG bedoel je IP Source Guard? In dat geval moet er als je geen DHCP gebruikt ook een ip source binding geconfigureerd worden.
DAI en IPSG gaan niet werken zonder DHCP. De DAI tabel wordt gepopulate a.d.h.v. gesnooped DHCP traffic.
Je zal dus DHCP moeten gebruiken. Je kan ze echter wel allemaal een statische lease geven, zodat ze altijd het zelfde IP hebben.

De actuele opbrengst van mijn Tibber Homevolt

vrijdag 4 november 2016 23:32

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

JackBol schreef op vrijdag 04 november 2016 @ 16:32:
[...]


DAI en IPSG gaan niet werken zonder DHCP. De DAI tabel wordt gepopulate a.d.h.v. gesnooped DHCP traffic.
Je zal dus DHCP moeten gebruiken. Je kan ze echter wel allemaal een statische lease geven, zodat ze altijd het zelfde IP hebben.
DAI is inderdaad afhankelijk van je DHCP snooping tabel, maar met een ARP ACL kun je daaromheen werken voor statische adressen.

code:
1
2
3

arp access-list ARP-TEST
  permit ip host 192.168.0.1 mac host 0000.0000.0001
ip arp inspection filter ARP-TEST vlan 100


En als je achter vlan 100 nog het woordje static zet bekijkt hij zelfs ALLEEN de arp access-list en wordt de dhcp snooping tabel genegeerd.

[ Voor 10% gewijzigd door Vicarious op 04-11-2016 23:37 ]

Vicariously I live while the whole world dies

zaterdag 5 november 2016 11:35

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Vicarious schreef op vrijdag 04 november 2016 @ 23:32:
[...]

DAI is inderdaad afhankelijk van je DHCP snooping tabel, maar met een ARP ACL kun je daaromheen werken voor statische adressen.

code:
1
2
3

arp access-list ARP-TEST
  permit ip host 192.168.0.1 mac host 0000.0000.0001
ip arp inspection filter ARP-TEST vlan 100


En als je achter vlan 100 nog het woordje static zet bekijkt hij zelfs ALLEEN de arp access-list en wordt de dhcp snooping tabel genegeerd.
Dit werkt wel, maar de combinatie MAC + IP is te spoofen.

Als je het 100% goed wilt doen, gebruik je option 82 icm. RADIUS authenticatie.
Daar is alleen omheen te werken als je fysieke toegang hebt tot de switch.

De actuele opbrengst van mijn Tibber Homevolt

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq