Необходима железка, на 24-48 портов
Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые у нее не прописанны). С возможность Блокировки Консоли, и Управления через WEB либо телнетом.Посоветуйте плиз.
Можно Нортел, Циско, 3КОМ. и тд.Кратко ситуация: может есть решение правильней....
Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича ставить в соответствие ПОРТ-АДРЕС )
>Необходима железка, на 24-48 портов
>Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые
>у нее не прописанны). С возможность Блокировки Консоли, и Управления через
>WEB либо телнетом.
>
>Посоветуйте плиз.
>Можно Нортел, Циско, 3КОМ. и тд.
>
>Кратко ситуация: может есть решение правильней....
>
>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный
>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича
>ставить в соответствие ПОРТ-АДРЕС )Копай в сторону динамических VLAN'ов.
>>Необходима железка, на 24-48 портов
>>Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые
>>у нее не прописанны). С возможность Блокировки Консоли, и Управления через
>>WEB либо телнетом.
>>
>>Посоветуйте плиз.
>>Можно Нортел, Циско, 3КОМ. и тд.
>>
>>Кратко ситуация: может есть решение правильней....
>>
>>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный
>>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
>>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича
>>ставить в соответствие ПОРТ-АДРЕС )
>
>Копай в сторону динамических VLAN'ов.
Поясню еше. Имеется в виду свич НАШ с В Чужой СТОЙКЕ, в Чужом помешении. И все кобеля с наших комнат туда скомутируются.. тоесть там чужих конекторов не будет.
Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>>>Необходима железка, на 24-48 портов
>>>Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые
>>>у нее не прописанны). С возможность Блокировки Консоли, и Управления через
>>>WEB либо телнетом.
>>>
>>>Посоветуйте плиз.
>>>Можно Нортел, Циско, 3КОМ. и тд.
>>>
>>>Кратко ситуация: может есть решение правильней....
>>>
>>>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный
>>>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
>>>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича
>>>ставить в соответствие ПОРТ-АДРЕС )
>>
>>Копай в сторону динамических VLAN'ов.
>
>
>Поясню еше. Имеется в виду свич НАШ с В Чужой СТОЙКЕ,
>в Чужом помешении. И все кобеля с наших комнат туда скомутируются..
>тоесть там чужих конекторов не будет.
>Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>
Cisco Catalyst это умеет и помоемому начиная с 2950 и выше Там даже на каждом порту можно прописать какие mac на порт пускать...
Я думаю, что есть решение правильней. Использовать 802.1х плюс radius (например поднять freeradius на какой-нить дохлой машине, либо поднять это дело на Windows Server'e). Тогда точно никто воткнувшийся ничего не получит.
Возможность задавать статикой mac-адреса на портах есть у многих коммутаторов, например, Cisco Catalyst 2950 и ZyXEL ES-2024A (или ES-2108). 802.1x там тоже имеется.
По мак-адресам защита не сильно надежная, как говорится от честных людей :-) Злоумышленнику достаточно вытащить ваш кабель из коммутатора и воткнуть его в свой ноут, и он тут же получит ваш mac и ваш ip. Затем перебить на сетевухе mac и ip и воткнуться в порт, откуда он выдернул кабель тоже достаточно просто. 802.1х полностью решает эти проблемы. Пароли в открытом виде не передаются, только хэш. Есть возможность использовать сертификаты - для пользователя становится вообще все прозрачно. Воткнул кабель и работай. Для злоумышленника задача практически неразрешимая
>Я думаю, что есть решение правильней. Использовать 802.1х плюс radius (например поднять
>freeradius на какой-нить дохлой машине, либо поднять это дело на Windows
>Server'e). Тогда точно никто воткнувшийся ничего не получит.
>Возможность задавать статикой mac-адреса на портах есть у многих коммутаторов, например, Cisco
>Catalyst 2950 и ZyXEL ES-2024A (или ES-2108). 802.1x там тоже имеется.
>
>По мак-адресам защита не сильно надежная, как говорится от честных людей :-)
>Злоумышленнику достаточно вытащить ваш кабель из коммутатора и воткнуть его в
>свой ноут, и он тут же получит ваш mac и ваш
>ip. Затем перебить на сетевухе mac и ip и воткнуться в
>порт, откуда он выдернул кабель тоже достаточно просто. 802.1х полностью решает
>эти проблемы. Пароли в открытом виде не передаются, только хэш. Есть
>возможность использовать сертификаты - для пользователя становится вообще все прозрачно. Воткнул
>кабель и работай. Для злоумышленника задача практически неразрешимаяПочитал доки проникся.. смысл понятен.
Тогда может подскажите как авторизировать компы на которых стоит Freebsd (сервера)
и NOVEL?В остальном вроде все ясно,
и еше момент если из свича выдернуть сам радиус и воткнутся туда буком... получится посниферить уже выданные IP? я так понимаю порт где сидит радиус настраивается на постоянку?
>Почитал доки проникся.. смысл понятен.
>Тогда может подскажите как авторизировать компы на которых стоит Freebsd (сервера)
>и NOVEL?
За авторизацию отвечает специальная программа-сапликант, в ее задачу входит отловить запрос на авторизацию и провести всю процедуру. В Windows XP и Windows 2003 Server саппликант интегрирован в саму систему (вкладка Authentication в свойствах сетевого подключения), для других систем существуют сторонние разработки (в том числе и Open Source). Полагаю, что решение для FreeBSD уж точно есть. Для Novell - не знаю.
>В остальном вроде все ясно,
>и еше момент если из свича выдернуть сам радиус и воткнутся туда
>буком... получится посниферить уже выданные IP? я так понимаю порт где
>сидит радиус настраивается на постоянку?
Радиус не привязывается к конкретному порту, главное чтобы он был доступен коммутатору на уровне IP (это значит, что для простого L2 коммутатора Radius должен быть включен в управляющий влан), порт при этом абсолютно не важен.
Если вы выдернете кабель, которым подключен Радиус, то все уже авторизованные пользователи продолжат работу, а при попытке авторизации кого-либо еще коммутатор пошлет запрос Радиусу, тот не ответит. Через таймаут свитч поймет, что Радиус сдох и если не предусмотрена локальная авторизация, то клиент получит отказ. Никакой важной информации злоумышленник не получит.
Подключив себя вместо Радиуса злоумышленник окажется в управляющем влане, что само по себе конечно плохо. Максимум что он получит - это адрес управляющего интерфейса коммутатора. Но при правильных настройках коммутатора доступ к нему он не получит.
По поводу того, что злоумышленник может подсунуть свой Радиус - на этот счет предусмотрен shared secret.
И последнее - поскольку вы говорите, что свитч физически доступен посторонним, обратите особое внимание на настройки самого свитча. Пароли должны быть установлены ВЕЗДЕ (на телнет, на консоль, SNMP community и т.д.) и пароли сложные. Если это циска - настройте невозможность сброса пароля с сохранением конфигурации.
>
>Поясню еше. Имеется в виду свич НАШ с В Чужой СТОЙКЕ,
>в Чужом помешении. И все кобеля с наших комнат туда скомутируются..
>тоесть там чужих конекторов не будет.
>Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>а в чем проблема? это поддерживает любой коммутатор (не хаб) изначально
>>
>>Поясню еше. Имеется в виду свич НАШ с В Чужой СТОЙКЕ,
>>в Чужом помешении. И все кобеля с наших комнат туда скомутируются..
>>тоесть там чужих конекторов не будет.
>>Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>>
>
>а в чем проблема? это поддерживает любой коммутатор (не хаб) изначальноне скажите..не любой коммутатор это поддерживает.
в что коммутатор с vlan не подойдет?
>>>
>>>Поясню еше. Имеется в виду свич НАШ с В Чужой СТОЙКЕ,
>>>в Чужом помешении. И все кобеля с наших комнат туда скомутируются..
>>>тоесть там чужих конекторов не будет.
>>>Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>>>
>>
>>а в чем проблема? это поддерживает любой коммутатор (не хаб) изначально
>
>не скажите..не любой коммутатор это поддерживает.
>в что коммутатор с vlan не подойдет?
в любом случае это не безопасно... для защиты трафика придумали ipsec.
Так как если есть доступ к комутатору физически то можно сделать все что угодно с ним.
Например перенастроить радиус на свой:)
Даже WS-C2950-24 имеет привязку порт-мак, достуа на телнет можно ограничить ACL-ами. Правда, если товарисчи запустят ARP флуд, то никто не помещает снифером половить трафик. И кнопочку mode можно ещё нажать, и обнулить циску... А вообще стоит действительно смотреть в строну IP Sec IMHO.
>Даже WS-C2950-24 имеет привязку порт-мак, достуа на телнет можно ограничить ACL-ами. Правда,
>если товарисчи запустят ARP флуд, то никто не помещает снифером половить
>трафик. И кнопочку mode можно ещё нажать, и обнулить циску... А
>вообще стоит действительно смотреть в строну IP Sec IMHO.Это временный офис пока ремонт в основном. Временная схема... Обшая серверная в здании куда скомутированны все розетки...
Возможно сотрудники даже будут в разных помешениях...
в каждом IPSEC ставить? Невариант.
+ На компах стоит спецефический софт (Для трединга) Требует именно прямой коннект..
У всех риал IP (своя сетка /25) все за роутером... Радиус думаю поднять на нем же...
И с помошщью отдельного ВЛАНА на 2 порта прокинуть Интернет канал на свой роутер в свою комнату.
Пока думаю о
Nortel Ethernet Routing Switch 5510
http://www.stimsk.ru/index.php?cpage=switch5510&lbk=mtech_su...
и схема с Радиусом.Буду благодарен, если кто знает как настроить Novel и Freebsd для такой аунтификации....
Если хочешь безопасности строй IPSec или VPN. Привязка по МАС на 2006 год это смешно - любой школьник подделает МАС не говоря о АйПи. На мой взгляд авторизацию по 802.х (если нет вообще ничего) подымать накладно и долго (Radius + 802.2x + CA или пароли заводить или синхриться с AD/LDAP )отдельная тема разговора да и глюков там еще хватает (например в винде нельзя прописать последовательность загрузки сервисов - вот и получается что новелл клиент автоматом стартует раньше чем появляется сеть :)) ) а если Радиус слетит :) в то время как IPSec или VPN поддерживаются стандартными ОСями. Хотя что то что другое требует настроек на стороне клиента и элегантного решения нет.
Коллеги по цеху!Может я что-то не понял в вопросе?
Дано: железка стоит в чужом помещении.
Задача1: если кто-то включиться, то чтоб не смог перехватывать трафик
Решение1: коммутатор любого производителя
Пояснение1: главное, чтоб коммутатор не поддерживал мирроринг портовЗадача2: если кто-то включится вместо работающей станции, подснифферит ее мас и ip адреса, то чтоб не смог общаться с другими раб. станциями
Решение2: авторизация по логину\паролю, на канальном уровне коммутатор любого производителя
Пояснение2: PPPoE, VPN, IPSecОбъясните мне, причем здесь выбор коммутатора?
>Коллеги по цеху!
>
>Может я что-то не понял в вопросе?
>Дано: железка стоит в чужом помещении.
>Задача1: если кто-то включиться, то чтоб не смог перехватывать трафик
>Решение1: коммутатор любого производителя
>Пояснение1: главное, чтоб коммутатор не поддерживал мирроринг портов
>
>Задача2: если кто-то включится вместо работающей станции, подснифферит ее мас и ip
>адреса, то чтоб не смог общаться с другими раб. станциями
>Решение2: авторизация по логину\паролю, на канальном уровне коммутатор любого производителя
>Пояснение2: PPPoE, VPN, IPSec
>
>Объясните мне, причем здесь выбор коммутатора?
Совершенно верно.
Задачи и решения правильные, вопрос поставлен не так.
Вопрос я задал не совсем коректно... я на том момент не знал о IEEE 802.1x и радиусе.
А IPSEC подымать в каждом кабинете... нерезон.Вошем как обычно в споре родилась истина =)
зачем там радиус?
на 2-3 десятка пользователей к томуж временно, любой свич локально список пользователей потянет
Zyxel ES2024A
>[оверквотинг удален]
>
>Посоветуйте плиз.
>Можно Нортел, Циско, 3КОМ. и тд.
>
>Кратко ситуация: может есть решение правильней....
>
>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный
>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича
>ставить в соответствие ПОРТ-АДРЕС )D-Link 3526