Switch forgalom szűrése

Hálózatok általános

Előre leszögezem, hogy nem értek annyira a témához. Tegyük fel, hogy van egy SOHO switch (20K HUF alatt), amire csatlakozik néhány kliensnek, meg egy szervernek nevezett gép. Azt akarom, hogy a kliensek ne tudjanak egymással kommunikálni, minden forgalom a szerveren menjen át, ahol azt szűrni, naplózni akarom. Meg lehet-e ezt oldani pl. egy RB260GS-sel és VLAN-okkal, vagy ehhez egy switch kevés? Tegyük fel, hogy nehezítésként a klienseken nem tudok/akarok statikusan VLAN ID-t állítani (mert nem elég okos az eszköz, pl. egy TV, vagy egy mobilis laptop). Tehát vagy maguktól kellene észrevenni, ha lehet olyat egyáltalán, vagy nem taggelt forgalom megy rajtuk, amit a switch taggel továbbküldéskor.

  • 4876 megtekintés

( janoszen v | 2014. 06. 30., h – 10:37 )

A VLAN nem rossz gondolat, de akkor kliensenkent kell egy VLAN-t kiosztanod es a routereden minden VLAN-t fel kell venni, a hozza tartozo IP tartomannyal. Rengeteg eszkoz viszont nem fog igy mukodni, pl amikor a TV-nek ra kell latnia a NAS-odra vagy ilyesmi, akkor nagyon gyorsan bele fogsz futni mindenfele problemaba. En erre azt csinaltam, hogy van egy "secure" halozat es egy "kevesbe secure" halozat es ezen ketto kozott osztottam fel a forgalmat.

--
Pásztor János
Üzemeltető Macik

( _ventura_ v | 2014. 06. 30., h – 10:43 )

Nalunk erre a celra d-link managelheto switchek vannak. megmondod melyik port melyik porttal kommunikalhat.
Ha jol remlik a mikrotik switchevel is tudja.

Fedora 20, Thinkpad x220

az lesz az, port alapu vlan tagging
Valahogy igy fog kinezni: 


|-----|-----|-----|-----|-----|
|     |VLAN1|VLAN2|VLAN3|VLAN4|
|-----|-----|-----|-----|-----|
|SRV  |  X  |  X  |  X  |  X  |
|-----|-----|-----|-----|-----|
|CL1  |  X  |     |     |     |
|-----|-----|-----|-----|-----|
|CL2  |     |  X  |     |     |
|-----|-----|-----|-----|-----|
|CL3  |     |     |  X  |     |
|-----|-----|-----|-----|-----|
|CL4  |     |     |     |  X  |
|-----|-----|-----|-----|-----|

Ahol az srv a szerver, a cl1-cl4 pedig a kliensek portjai
Így nem kell a klienseknek tudnia a vlan-t, a switch port alapon intézi hogy ne lássák egymást.

// Happy debugging, suckers
#define true (rand() > 10)

( kroozo v | 2014. 06. 30., h – 15:53 )

Kérdés, hogy cél a kikényszerítés, vagy bízol a kliensekben, hogy nem rosszhiszeműek?

Első esetben lehet, de akkor minden switchport külön VLAN (lehet access, nem kell az eszközöknek tudni róla), saját IP range meg dhcp pool, a szerver egyben routerként / tűzfalként is funkcionál. Neki nyilván kell tudni taggelni, merthogy vlanonként kell egy interface. További feltétel nyilván, hogy egy porton csak egy kliens (tehát nincs mögöttük másik switch, wifi router, etc). Ha ezt is ki kell kényszeríteni, akkor valami mac szűrés, egyéb port security (az előző azért nem a security csimbasszoja, a második meg nem biztos, hogy van soho switchben).

Van egy Private VLAN nevű dolog is, ami ezt hivatott mac alapon egy kicsit lightweightebben megoldani, de azt ha jól látom egy gyors gugli után, olyat a microtic nem tud.

Ha alapvetően bízunk az eszközökben, akkor elég mac alapján mindenkit saját subnetbe dhcpzni, és routeolni, nem kell vlanokkal csesződni, ergó egy bármi switch jó.

Diszklémer: soho környezetre tervezett vidám protokoloknál lehet probléma, hogy a kliensek nem azonos subnetben vannak...

Mondjuk azért ez kicsit paranoiásnak hangzik soho környezetben :)

Igen, abszolút. Egyébként ez IP szinten gyakorlatilag ugyanaz a megoldás, mint amit egyébként kellene csinálni, csak layer2-n nincsen igazából szeparálva. Szóval a sima/private VLAN annyit tesz hozzá, hogy hiába konfigolja valaki okosan át valamelyik kliens IP stackjét, nem fogja tudni áthazudni magát máshova. (Persze mint említettem, ennek is vannak limitációi azért). Tényleg kérdés, hogy ez kényelmi megoldás, nagyon buta userek elleni megoldás, vagy tényleg a biztonság miatt kell?

A TV-ről simán feltételezem, hogy turkál a megosztásokban, és "usage statistic" formában tolja tovább (LG TV, volt ilyen hír itt is). A TV remélhetőleg nem fog nagyon trükközni, hogy kikerülje a megszorításokat. Vagy ha valaki felnyom egy device-ot, akkor pl. onnan ne érje lazán az IP kamerámat. Utóbbi már direkt rosszindulat is lehet, ha ember és nem automatizált malware, és elég kicsi az esélye, ezért elég, ha csak egy kicsit meg van nehezítve a dolga, és még ha sikerrel is jár, legalább lesz róla log a szerveren az első próbálkozásokról. Et cetera.

--

I see. Mondjuk ennek nagy része szerintem viszonylag normálisan kezelhető az internet elérés rendes korlátozásával, de ez paranoia szint függő. :)
Meg az simán benne van, hogy ettől azért mondjuk sambázni, dlna-zni, meg egyéb ilyeneket csinálni nem lesz olyan hű de kényelmes.

De a kicsit nehezítésre szerintem a felokosított separált routing már segít azért.

Az internet elérés is korlátozva lesz. Azt a mai napig nem értem, hogy az LG okostévén miért jelent meg egy felirat egyszer, hogy a szomszédom csatlakozni szeretne, mert a wifimre tuti nem jutott be. Tehát nem árt vigyázni, mert pont egy ilyen eszköz is lehet átjáróház. Azért van szerencsém, mert a router egyben a megosztós szerver is, tehát eleve nem gyakori, hogy két eszköz egymással beszélget. De ha szükség lesz rá, biztos lehet olyan routingot meg tűzfal szabályokat csinálni, hogy menjen, amit szeretnék, de más nem.

--

( _Gabor_ | 2014. 06. 30., h – 18:10 )

Soho switchekben ez valószínűleg nem támogatott, de amúgy a privát vlan lehetne az adott problémára megoldás, amivel az adott vlan-t kisebb elemekre lehet osztani. wiki