Hallo Medetweakers,
Ik moet over een paar maanden een LAN party hosten voor 250 deelnemers. Nu ben ik in charge over de IT infrastructuur en ik zit met een paar vragen waar ik geen duidelijk antwoord bij kan krijgen.
De topology is simpel: Router <-> Coreswitch <-> LAG (2x 1Gbit) Access switches (10x).
1: Rogue DHCP servers. Word afgevangen met DHCP snooping/guarding. Enkel de router mag DHCP requests beantwoorden.
2: DNS. Draait lokaal, router verzorgt caching en assisteert met local address mapping naar servers (http://lanpartynaam.lan).
3: D.m.v. filtering (firewall/QoS) zorg ik ervoor dat de max internet snelheid gecapt is op 25mbit per device, torrent e.d. worden geblokkeerd).
Tot zover heb ik het volgens mij aardig op de rit. Nu wil ik niet zeggen dat ik een doemdenker ben maar ik hou graag rekening met alle scenarios. Een scenario dat open staat is bijvoorbeeld een bezoeker die (bewust of onbewust) een statische IP configureerd dat hetzelfde is als bijvoorbeeld onze NAS.
Wat heeft dit voor gevolgen? Er ontstaat een IP conflict, dat weet ik maar hoe reageert het netwerk (lees: andere pc's) hierop. Zijn zowel de NAS als de PC die het IP heeft ingesteld niet te bereiken of heeft het apparaat dat het IP als eerste had het 'recht' om dit te mogen gebruiken?
En hoe zit het als iemand sabotage zou willen plegen en zijn PC hetzelfde IP adres geeft als de router (default gateway), ik vermoed dat zo het hele internet onbereikbaar word voor een ieder. Het netwerk zelf zal blijven lopen daar dit L2 is en op MAC basis gaat.
Met andere woorden; Wat kan ik verwachten en kan ik mijzelf hiertegen beschermen?
Ik heb er bijvoorbeeld aan gedacht de NAS in een ander subnet en VLAN te zetten. De router zal d.m.v. interVLAN routing ervoor zorgen dat het verkeer op de juiste plaats komt. Als iemand dit NAS IP (static) zou instellen dan gebeurd er niets, want elke pc stuurt het traffic standaard richting de default gateway voor alle verkeer buiten het eigen subnet. Een nadeel is dat alle traffic tussen de 2 VLANs dan direct via de router moet, dit betekend dat de maximale doorvoersnelheid gelimiteerd word tot 1Gbit (max snelheid interface router).
En de gateway dan? Hoe stel ik deze "veilig"?
Ik moet over een paar maanden een LAN party hosten voor 250 deelnemers. Nu ben ik in charge over de IT infrastructuur en ik zit met een paar vragen waar ik geen duidelijk antwoord bij kan krijgen.
De topology is simpel: Router <-> Coreswitch <-> LAG (2x 1Gbit) Access switches (10x).
1: Rogue DHCP servers. Word afgevangen met DHCP snooping/guarding. Enkel de router mag DHCP requests beantwoorden.
2: DNS. Draait lokaal, router verzorgt caching en assisteert met local address mapping naar servers (http://lanpartynaam.lan).
3: D.m.v. filtering (firewall/QoS) zorg ik ervoor dat de max internet snelheid gecapt is op 25mbit per device, torrent e.d. worden geblokkeerd).
Tot zover heb ik het volgens mij aardig op de rit. Nu wil ik niet zeggen dat ik een doemdenker ben maar ik hou graag rekening met alle scenarios. Een scenario dat open staat is bijvoorbeeld een bezoeker die (bewust of onbewust) een statische IP configureerd dat hetzelfde is als bijvoorbeeld onze NAS.
Wat heeft dit voor gevolgen? Er ontstaat een IP conflict, dat weet ik maar hoe reageert het netwerk (lees: andere pc's) hierop. Zijn zowel de NAS als de PC die het IP heeft ingesteld niet te bereiken of heeft het apparaat dat het IP als eerste had het 'recht' om dit te mogen gebruiken?
En hoe zit het als iemand sabotage zou willen plegen en zijn PC hetzelfde IP adres geeft als de router (default gateway), ik vermoed dat zo het hele internet onbereikbaar word voor een ieder. Het netwerk zelf zal blijven lopen daar dit L2 is en op MAC basis gaat.
Met andere woorden; Wat kan ik verwachten en kan ik mijzelf hiertegen beschermen?
Ik heb er bijvoorbeeld aan gedacht de NAS in een ander subnet en VLAN te zetten. De router zal d.m.v. interVLAN routing ervoor zorgen dat het verkeer op de juiste plaats komt. Als iemand dit NAS IP (static) zou instellen dan gebeurd er niets, want elke pc stuurt het traffic standaard richting de default gateway voor alle verkeer buiten het eigen subnet. Een nadeel is dat alle traffic tussen de 2 VLANs dan direct via de router moet, dit betekend dat de maximale doorvoersnelheid gelimiteerd word tot 1Gbit (max snelheid interface router).
En de gateway dan? Hoe stel ik deze "veilig"?
[ Voor 3% gewijzigd door Verwijderd op 18-10-2018 01:22 . Reden: spelfoutjes ]
/u/35508/crop61e6aa7b579e2_cropped.png?f=community)
:strip_exif()/u/101509/Avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/206451/crop5e887756440a2_cropped.jpeg?f=community)
:strip_exif()/u/42858/matrix-icon.gif?f=community){kind=icon}
:strip_icc():strip_exif()/u/46486/RayBan.jpg?f=community)
:strip_icc():strip_exif()/u/261064/Avatar%2520kiwi.jpg?f=community){kind=avatar}
.
.