[Cisco netwerk] Mac address beveiliging switches

persoonlijk zal ik eens naar de mogelijkheden gaan kijken van snmp. Vaak kan je heel veel dingen doen (configuren zo en zo) en mischien ook wel het resetten van een poort dmv van SNMP. Als je hier nu een mooie webclient omheenschrijft die eventueel ook verbinding heeft met een SQL databasje kan dat je een hoop werk schelen

zelf beheer ik geen switches. Ik weet wel dat bij ons het zo is ingesteld het eerste mac adres is de enige die ooit wordt toegelaten wordt er een andere op geprikt dan gaat de poort op slot. Admin ken ik niet ik maak gebruik van het lan netwerk en beheer het niet. Ik denk niet dat ze een administratie bijhouden welk mac op welke poort zit alleen systeembeheer is de enige die de poort kan ontgrendelen. Dus ze weten wel altijd dat er iemand heeft lopen rotzooien als het misgaat. Gezien het feit dat zij ook de verhuzingen en vervangen van PC's doen hebben zij wel altijd door dat er af en toe een poortje gereset moet worden

http://www.cisco.com/en/U...pter09186a0080150bcd.html

en dan even zoeken naar sticky

Bij het bedrijf waar ik heb gewerkt hadden ze hetzelfde met 3COM switches.
Voor de helpdeskmedewerkers had 3COM speciale switch management software aangeleverd waarmee men dit heel makkelijk kon beheren.
Met deze software kon men ook beheren hoeveel verschillende MAC adressen er per port op mochten, en welke actie ondernomen moest worden als dit overschreden werd.

Ik weet alleen niet of CISCO dit ook heeft, maar het is dus wel mogelijk.

[ Voor 4% gewijzigd door Virtugon op 12-07-2004 19:53 ]

je kan de cms van de cisco switches kunnen gebruiken om ze via het web te beheren.

wat ik wel zelf ervaren heb is de beveiling leuk is alleen als er continu verhuist word dit dus niet te doen is. als je 1 man op 300 pc heb voor het netwerk

je kan geloof ik 15 verschillende levels voor accounts maken. misschien zit er wat tussen

[ Voor 17% gewijzigd door Duinkonijn op 12-07-2004 20:53 ]

Bor_de_Wollef schreef op 12 juli 2004 @ 19:55:
In IOS is dit simpel te regelen. Ik wil echter de service desk geen IOS toegang geven. Daarnaast ben ik ook op zoek naar een stukje alerting / logging. Dit kan ik via SNMP wel vrij simpel inregelen. Het beheer is iets waar ik me wel zorgen om maak. Een eigen gemaakte excel sheet met mac adressen en ip's vind ik niet zo heel handig. Daarnaast zoek ik eigenlijk een oplossing waarbij ik ook gradaties kan aanbrengen in de rechten die iemand heeft (bv wel poort instellen maar niet unlocken etc).

En waarom wil je een helpdesk geen ios toegan geven, tussen leve 0 en level 15 zitten 14 customizable levels, als je die definieert zie ik geen probleem.

Niks met mac-adressen te maken, maar zou 802.1x niet beter zijn in jouw situatie?
Het is een stuk makkelijker te beheren, en je beveiligt de switch ook op poort niveau (en nog wel beter imo).

Bor_de_Wollef schreef op 12 juli 2004 @ 18:31:
Ik ben momenteel tijdelijk werkzaam als netwerkbeheerder. Mij is gevraagd een voorstel te maken voor het beveiligen van het geswitchte netwerk middels mac adressen.

Beveiligen waartegen?

kell.nl schreef op 13 juli 2004 @ 00:08:
Niks met mac-adressen te maken, maar zou 802.1x niet beter zijn in jouw situatie?
Het is een stuk makkelijker te beheren, en je beveiligt de switch ook op poort niveau (en nog wel beter imo).

Precies. Was laatst bij een klant die hun cisco's ook op mac adres "beveiligd" hadden . . . en op alle pc's keurig een stickertje geplakt met het mac adres er op
(moe je alleen geen vmware opstarten, dan gaat de port alsnog op slot)

Bor_de_Wollef schreef op 13 juli 2004 @ 07:09:
[...]


Wireless is in onze situatie geen optie. Het hele wired netwerk ligt er al en wireless kan niet de snelheid bieden die hier nodig is.

Ik heb nergens iets over wireless gezien in deze thread.
Maar als je denkt dat 802.1x wireless is, dan heb je het fout
802.1x kan wel bij wireless gebruikt worden, maar zeker ook bij wired (indien de switches het ondersteunen, natuurlijk).
Korte omschrijving:
802.1x is een manier om toegang te beveiligen op switches.
Op het moment dat een apparaat wordt aangesloten (of aangezet), dan laat de switch geen verkeer toe op die poort, behalve 802.1x.
De machine moet zich eerst authenticeren tegen de switch, die dit controleert bij een radius server. Als dat goed gaat, dan kan de machine op het netwerk.
Het is ook mogelijk om bepaalde attributen op die manier op te geven, zoals bijvoorbeeld in welk vlan het apparaat moet komen.

Check http://www.cisco.com/en/U...pter09186a00801a6c72.html
voor hoe het moet bij Cisco switches.

MAC-filtering is zeker niet heilig!! (heb het bij een klant van me, die dacht dat het wel waterdicht was, ooit eens aangetoond )
Het helpt je wel om een redelijke drempel neer te leggen, maar is zeker niet "waterdicht"
Maar een goede administratie is wel van "levensbelang".
Het helpt je overigens ook tegen illegale verhuizingen van systemen!
Op die manier hou je dus ook altijd wel een goede CMDB up2date.
Ongecontroleerde verhuizingen resulteren tenslotte in een niet werkend apparaat op je netwerk.

En JA, het is een administratieve rompslomp maar het is wel 1 van de betere manieren om ongeauthoriseerde PC buiten je netwerk te houden.
Je zal dan dus ook de procedure voor verhuizingen van hardware (printers, PC's, servers, etc.) en aanschaf van nieuwe hardware ook daarbij moeten aanpassen.
Ik weet niet of de poorten die niet gebruikt worden ook gepatched zijn of niet, maar indien dat wel zo is dan moet je standaard de poorten die niet in gebruik zijn gewoon blocken en pas open zetten obv MAC-adres, zodra je ze wilt gebruiken.

Het probleem echter wat je hebt is dat je niet weet hoeveel "vervuiling" je op dit moment hebt.
Je zal dus nog wel alle aansluitingen, die je nu dus laat "self learnen" op de huidige MAC-adressen, nog wel moet controleren.
Beveiliging, van in dit geval je netwerk, is altijd een combinatie van techniek, procedures en uitvoering!

Het hangt er verder een beetje vanaf hoe secure dat je het netwerk wilt hebben, maar als filtering alleen niet voldoende is kan je idd kijken naar 802.1x
Je moet zoeken naar de balans tussen funtionaliteit (veiligheid in dit geval) en de kosten.
Het zijn niet alleen de kosten van een Radius-server die je nodig hebt.
Het systeem zal ook beheerd moeten worden.
Procedures zuller er voor aangemaakt moeten worden.
Mensen zullen er een cursus voor moeten krijgen.
etc. etc.

[ Voor 20% gewijzigd door ]Byte[ op 13-07-2004 07:56 ]

Wij hebben ook een studie gedaan omtrent 802.1x

Posrt Security geenabled op de cisco switches en mbv een Windows 2003 server een IAS server en CA de boel secured. Werkte perfect.

Alleen clients die een machine certificaat hadden mochten het netwerk op (EAP-TLS).
MAC adres security is eigenlijk geen security omdat ik het MAC adres kan veranderen.

Het leuke van 1X op Cisco is dat je aan de hand van het gebruikte certificaat computers in een bepaald VLAN kan zetten. Dat is dus ook weer een stukje beveiliging...

Bor_de_Wollef schreef op 13 juli 2004 @ 09:18:
Hier wordt voor een groot deel gebruik gemaakt van zowel NT4 als 2000 clients. XP kom je hier nog nauwlijks tegen. Ik begreep dat Xp een 802.1x client ingebouwd heeft maar dat je voor de andere platformen alweer een agent nodig hebt die lokaal geinstalleerd moet worden. Daarnaast zie ik het als nadeel dat een extra inlog nodig is om tegen radius of tacacs(+) te authenticeren.

Het zit in Solaris 10 ook ingebakken. Eerdere versies moeten gebruik maken van een 3rd party stukkie software (niet gratis) en bij Windows werkt het vanaf 2000 SP3 (met free patch)

Je hebt overigens niet persee een extra inlog voor 802.1x nodig als je gebruik maakt van EAP-TLS. Je pc wordt geauthenticeerd op vasis van een machine certificaat en je bent dus al gecertificeerd op het moment dat je inlogt (dat moet natuurlijk ook).
Voor PEAP heb je alleen een server certificaat nodig. En voor de rest is dit redelijk veilig (EAP-TLS is veiliger) en dan heb je ook EAP over MD5 welke werkt met behulp van een gehasht password. En hierbij heb je geen certificaten maar wel een extra login.

Mocht je intresse hebben: tijdens mijn zoektocht naar meer info heb ik veel documenten hierover gevonden, ik wil je die wel opsturen of zo.

[ Voor 6% gewijzigd door Verwijderd op 13-07-2004 15:05 ]

Bor_de_Wollef schreef op 13 juli 2004 @ 19:34:
Een client krijg ik er hier zowiezo niet door. Het hoofd van de afdeling heeft dit zojuist expliciet duidelijk gemaakt. 802.1x valt hiermee af vrees ik. Op zich vind ik het een interessante techniek waar ik prive zeker meer van ga opzoeken.

Zijn er goede kant en klare oplossingen voor de registratie van macadressen / poorten etc? Hoe moet je omgaan als je bv sticky poorten gebruikt met poorten waar nu meerdere mac's achter hangen (bv dmv een hubje)?

Je kunt zelf aangeven hoeveel mac adressen er sticky geleerd mogen worden op een poort.

switchport port-security maximum X

deze worden vervolgens als static in je mac adres tabel geregistreerd.

Is hierbij privelige level definitie geen mogenlijkheid voor de betreffende situatie t.a.v. de helpdesk ?

[ Voor 17% gewijzigd door Verwijderd op 13-07-2004 20:46 ]

Ik ben zelf ook eens met het probleem in mijn hoofd gaan zoeken en heb toen aan het experimenteren gegaan met de 3com switch manament tool. Deze was hiervoor ook goed te gebruiken. Ivm met de cisco switches kun je eens gaan kijken naar Cisco View.

ik weet niet of ik in de goede richting zit dus hier een summary:

CiscoView is a Web-based device management application providing dynamic status, monitoring, and configuration information for the broad range of Cisco internetworking products. CiscoView displays a physical view of a device chassis, with color-coding of modules and ports for at-a-glance status. Monitoring capabilities display performance and other statistics. Configuration capabilities allow comprehensive changes to devices, given requisite security privileges are granted.

Lijkt me dus iets wat jij zoekt. Als je meer info nodig hebt wil ik het hier wel posten...

Ik krijg de indruk dat de meeste posters in deze draad denken dat een mac adres een vast gegeven is.

Het is echter een variabele, die weliswaar default altijd hetzelfde is maar die je gewoon kunt overschrijven in het OS. In *n*x systemen met ifconfig, in wintel systemen met een netwerk adapter property variabele (locally assigned address) of als die niet zichtbaar is, met een registry entry.

Het ligt inderdaad niet erg voor de hand. Maar om daar je security op te baseren vereist dat de werkstations ook goed beheerd moeten worden zodat de gebruiker b.v. geen regedit kan draaien.

Ik ga volgend jaar voor een van onze lokaties iets dergelijks doen, beveiligen op MAC adres en ook op tijd. Dus na werktijd de poorten uitschakelen, maar goed dit is niet te vergelijken met jouw situatie.

Het gaat bij mij om een lokatie met een open balie, waar 's avonds ook mensen komen. Ik regel het overigens gewoon in het OIS omdat het maar om 4 werkplekken gaat en er weinig mutaties zijn.

Desalnietemin volg ik dit draadje met belangstelling.