Anticisco http://www.anticisco.ru/forum/ |
|
Простая задача с IPSом http://www.anticisco.ru/forum/viewtopic.php?f=3&t=2245 |
Страница 1 из 1 |
Автор: | Fedia [ 14 сен 2011, 09:12 ] |
Заголовок сообщения: | Простая задача с IPSом |
Пусть у вас есть cisco IPS 42xx (ну пусть свежий - 4240, 4260 или еще чего) в режиме promiscous. Он воткнут портом для управления и портом для прослушивания в неизвестные порты коммутатора. Доступа к стойке у вас нет. Есть удаленный доступ к коммутатору и IPS. Предложите несколько способов, как определить, какой порт IPS воткнут в какой порт коммутатора. |
Автор: | Starican [ 18 сен 2011, 20:10 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Один способ придумал. 1)Заходим на IPS и отключаем (снимаем галку на активации интерфейса) порт который в promiscous режиме. Соответственно порт выключается и на коммутаторе мы видим какой порт отключился (ушел в shutdown). Вот нашли 1-й порт. Если мы можем удаленной зайти на IPS - значим мы знаем его ip. Пингуем с коммутатора адрес IPS. Смотрим какй мак приходит на коммутутор и логично ищем его на портах.. Порт на котором находится SPAN порт IPS логично можно посмотреть в настройках коммутатора (если конечно там настроен SPAN порт). (Ну это если нам ужастно повезло :)) НО в задачке то не написано про это ничего, можно же пофантазировать о том что все уже настроено :) 2)Можно перегрузить IPS. При перезагрузке порты уйдут в down на свитче (точнее на IPS, в свитч это отработает.) Увидив -2а нужных порта просто смотрим на каком из них есть MAC (это MGMT), а на каком нет (SPAN) 3)(Дурацкий) Выключать оп очереди порты и смотреть когда отвалится управление у IPS либо перестанут идти данные на SPAN порт. |
Автор: | Fedia [ 19 сен 2011, 08:27 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Starican писал(а): Один способ придумал. 1)Заходим на IPS и отключаем (снимаем галку на активации интерфейса) порт который в promiscous режиме. Соответственно порт выключается и на коммутаторе мы видим какой порт отключился (ушел в shutdown). Вот нашли 1-й порт. Если мы можем удаленной зайти на IPS - значим мы знаем его ip. Пингуем с коммутатора адрес IPS. Смотрим какй мак приходит на коммутутор и логично ищем его на портах.. Порт на котором находится SPAN порт IPS логично можно посмотреть в настройках коммутатора (если конечно там настроен SPAN порт). (Ну это если нам ужастно повезло ) НО в задачке то не написано про это ничего, можно же пофантазировать о том что все уже настроено 2)Можно перегрузить IPS. При перезагрузке порты уйдут в down на свитче (точнее на IPS, в свитч это отработает.) Увидив -2а нужных порта просто смотрим на каком из них есть MAC (это MGMT), а на каком нет (SPAN) 3)(Дурацкий) Выключать оп очереди порты и смотреть когда отвалится управление у IPS либо перестанут идти данные на SPAN порт. Покритикую 1. Кто сказал, что management ip коммутатора в той же сети, что и IPS? Впрочем, проверить стоит, это факт! ПРо настройки коммутатора: задачка "живая". Клиент при переносе в ДЦ переткнул провода, чтобы было красивее. СОответсвенно настройки не роляют. 2. Тут тоже зачада: не все IPSы гасят интерфейсы при перезагрузке! Или делают это очень кратковременно. Это вторая засада. Но тут есть тонкость - если знать, то это может помочь Бывает и так, что порт для SPAN на одном комутере, а MGMT - на другом. ЛУчше какой-то долговременный эффект придумывать 3. ПРи наличии хотя бы 100 портов в серверных свитчах это становится довольно утомительным занятием В-общем, первый вариант принимается, если додумаете как сделать корректно. ПО условию задачи доступ может быть не ко всем железкам, например, к шлюзу IPS его может не быть (будем исходить из того, что его нет) Но в любом случае есть минимум 2 варианта, как доделать. |
Автор: | 1021 [ 21 сен 2011, 22:02 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Настроить storm control на портах коммутатора чтобы с первого же broadcast пакета коммутатор перевел порт в errdisable или по крайней мере отправил сообщение на syslog. Пингануть 255.255.255.255 с IPS. Так определим mgmt интерфейс. |
Автор: | Fedia [ 22 сен 2011, 08:56 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Вот будет забавно, если storm-control блокирнет десяток виндузовых хостов А по одному переводить - это непродуктивно Подсказываю: можно поработать с самим сенсором. Опережая ваш вопрос: Код: sensor# sh int management0/0 MAC statistics from interface Management0/0 Media Type = TX Link Status = Up Link Speed = Auto_100 Link Duplex = Auto_Full Total Packets Received = 232175 Total Bytes Received = 100029102 Total Multicast Packets Received = 0 Total Receive Errors = 0 Total Receive FIFO Overruns = 0 Total Packets Transmitted = 60206 Total Bytes Transmitted = 3416159 Total Transmit Errors = 0 Total Transmit FIFO Overruns = 0 |
Автор: | Fedia [ 26 сен 2011, 22:10 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Мда, никому не интересно... Старею, скучнею. А меж тем задачка живая была: доступ в IPS был, но шлюз был не доступен и у провайдера. Есть метод определить МАС управляющего порта IPS в этом случае. Как? Подожду еще денек |
Автор: | Ilya [ 28 сен 2011, 19:33 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Серж, это не ты постарел, это мы постарели... занятые стали и ленивые |
Автор: | Fedia [ 29 сен 2011, 14:27 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Ну да ладно: от старика к старикам Я так и не смог из консоли и веб-морды IPS узнать МАС-адреса интерфейсов. Это и была засада задачки. Решается она просто: заводим на IPS сервисного пользователя usrn SERV pass CISCO pr SERVICE заходим под ним, ssh bash-2.05$ Заходим в режим рута bash-2.05$ su password: {тот же пароль, что на сервисного пользователя} bash# ifconfig Вот он-то нам все и покажет |
Автор: | 998 [ 10 янв 2012, 01:30 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Привет :) Сергей, все не могу вовремя решать задачки сразу в голову пришла идея про MAC адреса :)) С сервсиным аккаунтом ты прав, но слишком долго. К тому же если к примеру авторизация через RADIUS настроена (в последних версиях такая возможность появилась) ее сначала вырубать прийдется (ну или всех радиус пользователей мапить как сервсиных..). А решается задачка просто: # show tech-support page | begin Network Statistics Statistics not available: event-server is disabled. Network Statistics = ge0_0 Link encap:Ethernet HWaddr 00:24:97:F0:8A:51 = inet addr:10.16.251.3 Bcast:10.16.251.63 Mask:255.255.255.192 = UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 = RX packets:32102087 errors:0 dropped:0 overruns:0 frame:0 = TX packets:25598304 errors:0 dropped:0 overruns:0 carrier:0 = collisions:0 txqueuelen:1000 = RX bytes:3914764842 (3.6 GiB) TX bytes:1622303280 (1.5 GiB) = Base address:0xbc00 Memory:f8200000-f8220000 ЗЫ Кстати про сервисных пользователей никому не забывать! Я уже инструкцию в ФСТЭК писал, они будут логиниться под сервисным аккаунтом и сверять MD5 суммы исполняемых файлов )) |
Автор: | Fedia [ 13 янв 2012, 06:55 ] |
Заголовок сообщения: | Re: Простая задача с IPSом |
Здорово Век живи - век учись |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |