Сообщения без ответов | Активные темы Текущее время: 20 сен 2019, 19:23



Ответить на тему  [ Сообщений: 10 ] 
Простая задача с IPSом 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Пусть у вас есть cisco IPS 42xx (ну пусть свежий - 4240, 4260 или еще чего) в режиме promiscous.

Он воткнут портом для управления и портом для прослушивания в неизвестные порты коммутатора.
Доступа к стойке у вас нет. Есть удаленный доступ к коммутатору и IPS.

Предложите несколько способов, как определить, какой порт IPS воткнут в какой порт коммутатора.


14 сен 2011, 09:12
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 210
Один способ придумал.
1)Заходим на IPS и отключаем (снимаем галку на активации интерфейса) порт который в promiscous режиме. Соответственно порт выключается и на коммутаторе мы видим какой порт отключился (ушел в shutdown). Вот нашли 1-й порт.
Если мы можем удаленной зайти на IPS - значим мы знаем его ip. Пингуем с коммутатора адрес IPS. Смотрим какй мак приходит на коммутутор и логично ищем его на портах..

Порт на котором находится SPAN порт IPS логично можно посмотреть в настройках коммутатора (если конечно там настроен SPAN порт). (Ну это если нам ужастно повезло :)) НО в задачке то не написано про это ничего, можно же пофантазировать о том что все уже настроено :)

2)Можно перегрузить IPS. При перезагрузке порты уйдут в down на свитче (точнее на IPS, в свитч это отработает.) Увидив -2а нужных порта просто смотрим на каком из них есть MAC (это MGMT), а на каком нет (SPAN)

3)(Дурацкий) Выключать оп очереди порты и смотреть когда отвалится управление у IPS либо перестанут идти данные на SPAN порт.


18 сен 2011, 20:10
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Starican писал(а):
Один способ придумал.
1)Заходим на IPS и отключаем (снимаем галку на активации интерфейса) порт который в promiscous режиме. Соответственно порт выключается и на коммутаторе мы видим какой порт отключился (ушел в shutdown). Вот нашли 1-й порт.
Если мы можем удаленной зайти на IPS - значим мы знаем его ip. Пингуем с коммутатора адрес IPS. Смотрим какй мак приходит на коммутутор и логично ищем его на портах..

Порт на котором находится SPAN порт IPS логично можно посмотреть в настройках коммутатора (если конечно там настроен SPAN порт). (Ну это если нам ужастно повезло :)) НО в задачке то не написано про это ничего, можно же пофантазировать о том что все уже настроено :)

2)Можно перегрузить IPS. При перезагрузке порты уйдут в down на свитче (точнее на IPS, в свитч это отработает.) Увидив -2а нужных порта просто смотрим на каком из них есть MAC (это MGMT), а на каком нет (SPAN)

3)(Дурацкий) Выключать оп очереди порты и смотреть когда отвалится управление у IPS либо перестанут идти данные на SPAN порт.


Покритикую
1. Кто сказал, что management ip коммутатора в той же сети, что и IPS? Впрочем, проверить стоит, это факт!
ПРо настройки коммутатора: задачка "живая". Клиент при переносе в ДЦ переткнул провода, чтобы было красивее. СОответсвенно настройки не роляют.

2. Тут тоже зачада: не все IPSы гасят интерфейсы при перезагрузке! Или делают это очень кратковременно. Это вторая засада. Но тут есть тонкость - если знать, то это может помочь
Бывает и так, что порт для SPAN на одном комутере, а MGMT - на другом. ЛУчше какой-то долговременный эффект придумывать

3. ПРи наличии хотя бы 100 портов в серверных свитчах это становится довольно утомительным занятием :)

В-общем, первый вариант принимается, если додумаете как сделать корректно. ПО условию задачи доступ может быть не ко всем железкам, например, к шлюзу IPS его может не быть (будем исходить из того, что его нет)
Но в любом случае есть минимум 2 варианта, как доделать.


19 сен 2011, 08:27
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 37
Настроить storm control на портах коммутатора чтобы с первого же broadcast пакета коммутатор перевел порт в errdisable или по крайней мере отправил сообщение на syslog. Пингануть 255.255.255.255 с IPS. Так определим mgmt интерфейс.


21 сен 2011, 22:02
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Вот будет забавно, если storm-control блокирнет десяток виндузовых хостов :)
А по одному переводить - это непродуктивно :)

Подсказываю: можно поработать с самим сенсором.
Опережая ваш вопрос:
Код:
sensor# sh int management0/0
MAC statistics from interface Management0/0
   Media Type = TX
   Link Status = Up
   Link Speed = Auto_100
   Link Duplex = Auto_Full
   Total Packets Received = 232175
   Total Bytes Received = 100029102
   Total Multicast Packets Received = 0
   Total Receive Errors = 0
   Total Receive FIFO Overruns = 0
   Total Packets Transmitted = 60206
   Total Bytes Transmitted = 3416159
   Total Transmit Errors = 0
   Total Transmit FIFO Overruns = 0


22 сен 2011, 08:56
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Мда, никому не интересно...

Старею, скучнею.

А меж тем задачка живая была: доступ в IPS был, но шлюз был не доступен и у провайдера.
Есть метод определить МАС управляющего порта IPS в этом случае. Как?

Подожду еще денек :)


26 сен 2011, 22:10
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
Серж, это не ты постарел, это мы постарели... занятые стали и ленивые


28 сен 2011, 19:33
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Ну да ладно: от старика к старикам :)

Я так и не смог из консоли и веб-морды IPS узнать МАС-адреса интерфейсов. Это и была засада задачки.

Решается она просто: заводим на IPS сервисного пользователя
usrn SERV pass CISCO pr SERVICE

заходим под ним,
ssh

bash-2.05$

Заходим в режим рута
bash-2.05$ su
password: {тот же пароль, что на сервисного пользователя}
bash# ifconfig

Вот он-то нам все и покажет :)


29 сен 2011, 14:27
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 258
Привет :)

Сергей, все не могу вовремя решать задачки сразу в голову пришла идея про MAC адреса :)) С сервсиным аккаунтом ты прав, но слишком долго. К тому же если к примеру авторизация через RADIUS настроена (в последних версиях такая возможность появилась) ее сначала вырубать прийдется (ну или всех радиус пользователей мапить как сервсиных..).

А решается задачка просто:

# show tech-support page | begin Network Statistics

Statistics not available: event-server is disabled.
Network Statistics
= ge0_0 Link encap:Ethernet HWaddr 00:24:97:F0:8A:51
= inet addr:10.16.251.3 Bcast:10.16.251.63 Mask:255.255.255.192
= UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
= RX packets:32102087 errors:0 dropped:0 overruns:0 frame:0
= TX packets:25598304 errors:0 dropped:0 overruns:0 carrier:0
= collisions:0 txqueuelen:1000
= RX bytes:3914764842 (3.6 GiB) TX bytes:1622303280 (1.5 GiB)
= Base address:0xbc00 Memory:f8200000-f8220000

ЗЫ Кстати про сервисных пользователей никому не забывать! Я уже инструкцию в ФСТЭК писал, они будут логиниться под сервисным аккаунтом и сверять MD5 суммы исполняемых файлов ))


10 янв 2012, 01:30
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Здорово :) Век живи - век учись :)


13 янв 2012, 06:55
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB