csomag szures stb

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2014. Dec. 9., K, 17:55:43 CET


Szia,

mint egykor kollegiumi netadmin, nem azt mondanam meg, hogy mit csinalj, 
hanem azt, hogy mi hogy csinaltuk.

On 2014-12-09 16:14, Zoltán Takács wrote:
> - loggoljam, hogy melyik végpont mikor-mit csinált, hogy ha
> szankcionálni kell, akkor legyen hol utána néznem...

ez minket kevesbe erdekelt, az erdekelt inkabb, hogy az IP amivel 
problema volt, az kie volt.  nem tudom nalad mekkora savszelesseg van, 
nalunk akkoriban 1 giga es kb 1200 forgalmazo gep.  Nincs az a hely 
ahova rogzithetnenk ki mit csinalt.  Az IP cimet mindenki felevente ujra 
kellett, hogy reigsztralja, azaz nevere vennie, a kovetkezo 
regisztracioig o felelt erte.

Akkoriban elegendo volt az IP - MAC cimparokat figyelni.  Ez olcso 
megoldaskent egy arpwatch is megoldja.  Nalunk amikor meg nem volt DHCP 
bevezetve (sot, tiltva volt) akkor minden esetben, amikor egy nem 
parositott ip - mac jelent meg a halozaton, azt kitiltottuk.  Modern 
kori megoldasok: VMPS, 802.1x, NAC, ezek mindegyike szofisztikaltabb 
megoldas ma mar, mint egy sima MAC figyeles (de a MAC figyeles a 
legolcsobb).

Amennyiben van DHCP nalatok (vagy lesz) es olyan a halozat is, force-old 
a DHCP hasznalatat dhcp snooping, ip source guard es DAI beallitasaval.

A MAC-re szures elonye, hogy nem kovetel a felhasznalotol extra 
autentikaciot, konnyebb es gyorsabb implementalni, hibakeresni, 
ugyanakkor kevesse biztonsagos, mint a felhasznalo azonositasa.

> - legyen lehetőségem sávszélesség állításra - lehetőleg
> felhasználónként vagy végpontonként... (a m0n0wall még mindig jó...)

IP cimenkent csinaltunk savkorlatot, egy masik VLAN-ba leptettuk az 
adott vegpontot (itt mar VMPS-t hasznaltunk, azaz mindegy hova volt 
bedugva a PC, az a port ahova kotottek mindenkepp a savkorlatozott 
VLANba kerult).  De volt olyan atmeneti idoszak is, amikor maradt az IP 
cime, maradt a VLANja is, ellenben a routeren egy policy map-et 
illesztettunk a kerdeses IP-kre es leszabalyoztuk onnan.  Ennek 
hatranya, hogy szoftveres megoldas, azaz mindenkepp CPU novelo a 
routeren.  itt megint csak az a lenyeges kerdes, hogy mekkora 
savszelessegre tervezel.  akkoriban nalunk hat-hetszaz mbit/s volt a 
plafon, azaz amit tenyleg forgalmaztak a kollegistak.

> - legyen lehetőségem pl. a torrentezés tiltására vagy legalábbis
> visszabb szorítására (itt valami csomagszűrésre vagy mit tudom én,

Hat, mi is akartuk tiltani, de akkor mi honnan szereztunk volna 
filmeket, ha senki nem tolti le? :)  Elso korben anno bevezettem az 
NBAR-t, amivel lehetett protokoll analizist csinalni egy egyszeru 
supervisor modulon is.  Hatranya, hogy idonkent annyi CPU-t hasznalt, 
hogy az egesz router belefagyott.  De amikor mukodott, egesz jo volt, a 
torrentet, legyen barmilyen porton, szepen lekorlatozta.

Mai megoldaskent en nem is gondolnek masra, mint alkalmazasi reteg-beli 
tuzfalra, peldaul egy megfelelo palo alto elbir barmilyen 
savszelesseggel.  ismet ugye a kerdes, mekkora sav, hany vegpont.

> beállítható, hogy a sávszélesség mondjuk 80%-át a 80-as porton
> forgalmazza és a maradék 20%-ot a többin.... Na, ilyet a m0n0wall-ban
> nem találtam...
> 

ezt sima iptables + tc megoldja neked, egy script az egesz.  de megint 
csak: ez full szoftveres megoldas, van az a savszelesseg amivel egy PC 
mar nem bir el es szuk keresztmetszet lesz.  a redundans megoldasrol nem 
is beszelve, ha van egy linuxos PC ami tuzfal, akkor az egyben single 
point of failure.  ha nincs sok felhasznalo, nem gond, de mondjuk nalunk 
ezer kollegista dorombolt az ajton egyszerre, ha nem volt net, plusz aki 
nem kollegista volt de kollegista eroforrast hasznalt volna kintrol, pl 
email, levlistak.

de amugy is, a torrentezes tok fuggetlen a portszamoktol, ugye az sehol 
nincs eloirva, hogy torrentezni ne lehetne a 80-as porton, raadasul ez a 
megkozelites megoli a standard ftp (20/21), scp (22), voip (5060 + rtp 
portok) es altalaban a stream hallgatast (gyakran jonnek a streamek pl 
8080, 8000 portokon).  Ha ezeknek mind 20%-on kell osztozni, mindenki 
hamar fog http tunnelezni.

nem tudom hany vegpontra tervezel, mekkora savszelesseged van, lehet, 
hogy valami linux-alapu megoldas is tokeletes lesz es nem kell 
tulgondolni.

udv
adam



További információk a(z) Techinfo levelezőlistáról