Контроль всех "белых" адресов в организации?

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
itman_sa
Advanced member
Сообщения: 116
Зарегистрирован: 07 июн 2006, 09:58
Откуда: Новороссийск
Контактная информация:

Контроль всех "белых" адресов в организации?

Сообщение itman_sa » 07 ноя 2008, 12:33

Есть интернет через SHDSL-модем, от модема инет идёт в тупой свитч Compex 24 порта, с Compex’а он уходит белыми адресами на Kerio1, Kerio2, виоконференц связь, Lotus1, Lotus2, и ещё на рзличные девайсы, кол-во которых может варьироваться.

Проблемы начались с того что у нас по итогам года трафик составил порядка 500 Гб, из них учесть мы смогли только 120.

Есть мысль, но нет понимания можно ли для начала сделать так:
взять один из наших свободных 3com 3250 или 4500, поднять на нём отдельный vlan, портов так на 20.  
Воткнуть все инет машины в него, настроить безопасность на пропускание только определенных mac-адресов, выключить все неиспользуемые порты.

- Это защитит нас от злоупотреблений которые могут совершать сисадмины. Но трафик, таким образом, не подсчитаешь. Да и провайдер даёт статистику только по всем адресам - это ТрансТелеКом


Развитие задачи: Взять под контроль все белые адреса.


1. Видеть откуда, куда, на какие порты, сколько соединений;
2. Учесть и сохранить данные по трафику за 1 Год;
3. Разрешать\запрещать порты;
4. Резать скорость;
5. Приоритезация трафика;
6. Защититься от атак извне.
7. Отдельный физический порт для каждого адреса.

Есть 1 Zyxel Zywall 70UTM - но я думаю что он не подходит.

У кого какие мысли? Прошу подсказать?

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: Контроль всех "белых" адресов в организации?

Сообщение Oleg2 » 07 ноя 2008, 12:54

itman_sa писал(а):Есть интернет через SHDSL-модем, от модема инет идёт в тупой свитч Compex 24 порта, с Compex’а он уходит белыми адресами на Kerio1, Kerio2, виоконференц связь, Lotus1, Lotus2, и ещё на рзличные девайсы, кол-во которых может варьироваться.

Проблемы начались с того что у нас по итогам года трафик составил порядка 500 Гб, из них учесть мы смогли только 120.

Есть мысль, но нет понимания можно ли для начала сделать так:
взять один из наших свободных 3com 3250 или 4500, поднять на нём отдельный vlan, портов так на 20.  
Воткнуть все инет машины в него, настроить безопасность на пропускание только определенных mac-адресов, выключить все неиспользуемые порты.

- Это защитит нас от злоупотреблений которые могут совершать сисадмины. Но трафик, таким образом, не подсчитаешь. Да и провайдер даёт статистику только по всем адресам - это ТрансТелеКом


Развитие задачи: Взять под контроль все белые адреса.


1. Видеть откуда, куда, на какие порты, сколько соединений;
2. Учесть и сохранить данные по трафику за 1 Год;
3. Разрешать\запрещать порты;
4. Резать скорость;
5. Приоритезация трафика;
6. Защититься от атак извне.
7. Отдельный физический порт для каждого адреса.

Есть 1 Zyxel Zywall 70UTM - но я думаю что он не подходит.

У кого какие мысли? Прошу подсказать?
Я бы предложил поставить отдельную шлюзовую машину и поднял бы на ней что-нибудь из этого софта:
http://www.opennet.ru/prog/sml/47.shtml

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 07 ноя 2008, 14:59

Взять 4500. Воткнуть в него порт с модема и серверы. Настроить на 4500 VLAN, ACL, фильтрацию по MAC и прочие погремушки, борющиеся со злобными несанкционированными сетевыми подключениями.

Считать статистику так:
С порта, куда подключен DSL-модем средствами свича делаем заркалирование порта. На пример делаем зеркалирование с порта 1 на порт 20.

В порт 20 втыкаем комп. На него ставим софт, который делает из сетевого потока, который пришел на сетевуху, трафик NetFlow. Например этой хренью: http://www.networkuptime.com/tools/netflow/ndsad.html

Ну а уж для NetFlow систему учета не написал только ленивый.  :D

P.S. Думаю не надо объяснять, что комп для учета должен иметь две сетевухи?  :wink:

Аватара пользователя
itman_sa
Advanced member
Сообщения: 116
Зарегистрирован: 07 июн 2006, 09:58
Откуда: Новороссийск
Контактная информация:

Сообщение itman_sa » 07 ноя 2008, 15:09

Спасибо. С порта 1 на порт 20 - понятно. А как все порты посчитать? Все можно зеркалировать на порт 20? Или как?

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 07 ноя 2008, 15:12

Кардинальное решение. Купите маршрутизатор Cisco.
Все ваши хотелки он умеет и Netflow на нем уже есть.

Однако один роутер все проблем не решит. Несанкционированные подключения нужно решать свичами.

Ну или купите Catalyst 6500. Он и роутер и свитч и модули IDS/IPS в него можно запихать. Только цена вам наверно не понравится...

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Сообщение Oleg2 » 07 ноя 2008, 15:13

and3008 писал(а):Кардинальное решение. Купите маршрутизатор Cisco.
Все ваши хотелки он умеет и Netflow на нем уже есть.

Однако один роутер все проблем не решит. Несанкционированные подключения нужно решать свичами.

Ну или купите Catalyst 6500. Он и роутер и свитч и модули IDS/IPS в него можно запихать. Только цена вам наверно не понравится...
Боюсь это будет дороговато. Всё равно же ведь шлюзовой сервер нужен. Можно и на нём всё обсчитать...

Аватара пользователя
itman_sa
Advanced member
Сообщения: 116
Зарегистрирован: 07 июн 2006, 09:58
Откуда: Новороссийск
Контактная информация:

Сообщение itman_sa » 07 ноя 2008, 15:15

Про 6500 наслышан - спасибо ...

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 07 ноя 2008, 15:18

Зачем считать ВСЕ порты?

Вам нужно считать только то, что пришло и ушло через порт, подключеный в Интернет.

В трафике будут IP-адреса. Адрес источника и адрес приемника.
Если вы провели нужные действия по невозможности несанкционированного подключения к портам и вы тем самым твердо уверены, что в порт 15 можно включить что угодно, но будет работать только комп с MAC-адресом таким-то и IP-таким-то, а еще висит в помещении видеокамера и секёт всякое, то на фига вам считать трафик с этого порта?
Увидите трафик по IP и сражу же его скореллируете с нужным сервером и портом.

Опять же, если это все же надо считать трафик по разным портам, то покупайте Catalyst 3560. Там и NetFlow и все погремушки обычного коммутатора. Только вот защиту от атак вы на нем не сделаете. Это вам надо что-то а-ля NetScreen, ASA или PIX будет ставить. Ну или опять же софтварное решение на базе UNIX тоже вариант.

Аватара пользователя
itman_sa
Advanced member
Сообщения: 116
Зарегистрирован: 07 июн 2006, 09:58
Откуда: Новороссийск
Контактная информация:

Сообщение itman_sa » 07 ноя 2008, 17:40

Всё правильно все порты мне не нужно считать! Мне нужно посчитать трафик по каждому IP!

Спасибо за ответы, буду пробовать варианты с NetFlow.

Ответить

Вернуться в «Сети - Технические вопросы, решение проблем»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей