¿Un paquete ajeno del switch apagó mi tarjeta Ethernet cuando uso nessus?

0

Estoy atrapado entre una mezcla de cócteles muy mala de dos tecnologías muy desesperadas. Uno es Nessus y el otro es un Juniper EX2200. Cuando ejecuto los dos juntos, la NIC de mi HP MiniTower 6200 Pro se apaga completamente. Esto sucede aproximadamente 2-3 minutos en el escaneo de Nessus.

Mi entorno es que tengo un conmutador de Juniper configurado junto con SSG-5, que proporciona la puerta de enlace para el entorno de prueba de laboratorio. El firewall está funcionando en modo NAT.

Una descripción aproximada de mi entorno problemático es:

Juniper ---> uplink
|
SWITCH ---> vlan 20 > connected via trunk cable
|
PC - Gigbait Ethernet card (belongs to vlan20)

Cuando la tarjeta Ethernet se apaga, se muestra el volcado de paquetes (si recuerdo bien):

Juniper84:91:12  ........ 52 RST spanning tree

Es un mensaje de protocolo de capa de enlace que proviene del interruptor de Juniper.

Además, si ejecuto el escaneo utilizando el enlace directo conectado a mi tarjeta NIC, no tengo ningún problema.

Estoy pensando que hay algún tipo de actualización enviada desde el switch a mi puerto de acceso que apaga la tarjeta NIC, algo así como las actualizaciones de STP. En este momento, no he deshabilitado tales actualizaciones porque realmente no sé qué lo está causando.

Además, sugiera cualquier paso / comando de solución de problemas que pueda ejecutar en un dispositivo de conmutación.

actualizar

Acabo de resolver el problema porque acabo de descubrir que el servicio de red de VMWare estaba enviando actualizaciones de VTP a través del puerto de acceso de mi máquina, lo que provocó que el switch central pusiera mi puerto en modo de bloqueo.

Con esto resuelto, ¿hay alguna manera de evitar que esto suceda a nivel de conmutador en lugar de simplemente deshabilitar los servicios de VMWare?

    
pregunta Saladin 09.05.2012 - 16:43
fuente

3 respuestas

1

¿Qué políticas ha habilitado en el análisis de Nessus? Si tiene los complementos de Juniper y / o switch habilitados, es posible que esté activando una respuesta STP desde el switch.

Intente deshabilitar los complementos para ver si el problema persiste.

    
respondido por el schroeder 09.05.2012 - 23:37
fuente
1

De lo anterior, no puede ejecutar un escaneo usando Nessus cuando se conecta al EX2200 (¿ssg también?) pero cuando se conecta directamente al enlace ascendente, puede ejecutar / completar el escaneo; es correcto ?

Suponiendo que sí, cuando dice que la interfaz se "cierra", ¿puede confirmar a qué nivel se apaga la interfaz? Por ejemplo, ¿es un puerto físico inactivo (es decir, las luces de enlace se apagan) o es lógico (l2 o superior)? En cualquier caso, es probable que estés en el camino correcto. El ex220 (o tal vez incluso el ssg) podría deshabilitar / cerrar un puerto si detecta ciertas violaciones de políticas. Dependiendo de cómo se deshabilite / apague el puerto, podría descubrir qué está causando el comportamiento. Suponiendo que esté ejecutando JUNOS 12.1, aquí hay un link a una página con documentación para el conmutador de la serie EX. EX puede ejecutarse como un UTM (y otros módulos de seguridad), por lo que es posible que algún módulo de EX inicie el apagado físico o la desactivación del puerto. En una empresa, le preocuparía que algún puerto comenzara a iniciar de forma aleatoria un comportamiento sospechoso (falsificación de la dirección IP, falsificación de la dirección mac, control de tormentas, etc.).

Recomiendo que primero verifique las características de seguridad en el ex2200 para determinar si (o cuál) está activada la característica de seguridad. De lo contrario, podría ser el ssg (el diagrama anterior no estaba claro si inició la exploración interna o externo al ssg).

    
respondido por el bangdang 09.05.2012 - 20:39
fuente
0

Sospecho que los problemas de hardware con su mini torre HP. Sugerencia: intente ejecutar el escaneo desde una máquina diferente con hardware diferente.

La resolución de problemas de este tipo de problemas de hardware probablemente no valga la pena. Es un nido de ratas y podría pasar días o semanas en él, e incluso entonces, tal vez no identifique de manera confiable la causa del problema.

Si la ejecución del escaneo de Nessus desde una máquina diferente funciona, entonces ha hecho un gran progreso. Puede seguir utilizando la otra máquina y ahora ha cumplido sus objetivos (ejecutar con éxito el análisis de Nessus).

O, si por alguna razón realmente quiere diagnosticar la causa raíz del problema, ha progresado hacia eso, porque ahora tiene un caso en el que se sabe que el problema no surge. En cualquier caso, si realmente quiere diagnosticar la causa raíz, el primer paso será asegurarse de tener un entorno en el que funcione de manera confiable y un ambiente en el que falle de manera confiable, y luego comenzar a minimizar las diferencias entre los dos hasta que haya reducido por la causa Por lo tanto, probar un equipo diferente con un hardware diferente es probablemente el primer paso, independientemente de su objetivo final.

    
respondido por el D.W. 09.05.2012 - 18:43
fuente

Lea otras preguntas en las etiquetas