URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 4262
[ Назад ]

Исходное сообщение
"OpenNews: 802.1х и SFlow как средства для борьбы с подменой адресов."

Отправлено opennews , 10-Сен-04 16:55 
Владислав Пинженин (lanbilling.ru (http://www.lanbilling.ru/)) прислал интересную статью "Безопасность сети на основе 802.1х и SFlow, "идеальная и недостижимая" (http://www.opennet.me/base/net/sflow_8021x.txt.html)", в которой рассказывается об относительно новом способе борьбы с подменой адресов пользователями,
базирующемся на использовании стандарта 802.1х (http://www.ieee802.org/1/pages/802.1x.html) (Port Based Network Access Control) совместно с технологией SFlow (ftp://ftp.rfc-editor.org/in-notes/rfc3176.txt).

URL: http://www.opennet.me/base/net/sflow_8021x.txt.html

Новость: http://www.opennet.me/opennews/art.shtml?num=4340


Содержание

Сообщения в этом обсуждении
"802.1х и SFlow как средства для борьбы с подменой адресов."
Отправлено Nikolaev D. , 10-Сен-04 16:55 
что-то я там слова LDAP не нащел...

"802.1х и SFlow как средства для борьбы с подменой адресов."
Отправлено vlad , 10-Сен-04 17:21 
а при чем тут собственно ? какая разница как хранить эккаунты в конечном итоге, что LDAP что SQL - разница хоть и есть с точки зрения программной реализации и интерфейсов, но сути не меняет.

"802.1х и SFlow как средства для борьбы с подменой адресов."
Отправлено fser , 10-Сен-04 22:39 
Очень хорошая статья. Советую всем прочитать и просвятиться.

"802.1х и SFlow как средства для борьбы с подменой адресов."
Отправлено v1z0r , 11-Сен-04 13:12 
Автор забыл упомянуть что Web Based Authentication поддерживает лишь ограниченное число коммутаторов, а поддержка идентификации (EAP-MD5) в Винде появилось только в 2000 и то не с первого сервис пака. Бесплатных клиентов под Win9x, WinMe нету (есть Wire1x но его использование в реальных условиях затруднительно). Поэтому приходишлось писать собственного клиента.

sFlow так же поддерживают только новые коммутаторы и то не все.

ИМХО безопастность MAN сетей в основном лежит на возможностях коммутатора. Даже строгая привязка мака к порту (в моем случае ip'шки выдает DHCP) + 802.1x не дают 100% защиты клиентов.