форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как закрыться от всяких сниферов?"
Сообщение от ilya_f (ok) on 07-Апр-04, 14:30  (MSK)
Добрый всем день, Такая ситуация. Контора подключена к Интернету следующим образом: Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего шлюза, который тоже с реальным IP. Оставляю за скобками модели всех этих устройств, так как вопрос не по их функциональности. Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть. Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности. Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата пакетов не буду застрахован, так как есть возможность подмены MAC адреса. Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать к порту конкретный MAC адрес. Я из таких устройств только Catalist знаю, это дорого. Посоветуйте недорогой свич или другой подход к проблеме. Спасибо, Илья.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Как закрыться от всяких сниферов?"
Сообщение от .zZz. (??) on 07-Апр-04, 14:51  (MSK)
>Добрый всем день, > >Такая ситуация. Контора подключена к Интернету следующим образом: > >Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на >нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего >шлюза, который тоже с реальным IP. Оставляю за скобками модели всех >этих устройств, так как вопрос не по их функциональности. > >Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не >обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом >поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего >шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть. > > >Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности. > >Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата >пакетов не буду застрахован, так как есть возможность подмены MAC адреса. >Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать >к порту конкретный MAC адрес. Я из таких устройств только Catalist >знаю, это дорого. > >Посоветуйте недорогой свич или другой подход к проблеме. > >Спасибо, > >Илья. свитчи подешевле - 3com (например, SuperStackII 1100) и D-Link (например, DES-3226) а вообще, поможет любой свитч, поддерживающий 802.11q (vlan) если есть договорённость с провайдером - тока в путь... Либо, юних с тремя сетевыми карточками - и делай чё хочешь :) ЗЫ 2-е по-любому правильнее :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Как закрыться от всяких сниферов?"
	Сообщение от .zZz. (??) on 07-Апр-04, 14:53  (MSK)
	кстати, есть ещё такие вещи как sniffing in the switching enveropment - так что ставь лучше роутер, ей богу! :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Как закрыться от всяких сниферов?"
	Сообщение от ilya_f (ok) on 07-Апр-04, 15:04  (MSK)
	>кстати, есть ещё такие вещи как sniffing in the switching enveropment - >так что ставь лучше роутер, ей богу! :) Вобщем переносим решение пролемы на Network layer и не мудрим, правильно?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Как закрыться от всяких сниферов?"
	Сообщение от .zZz. (??) on 07-Апр-04, 16:46  (MSK)
	>>кстати, есть ещё такие вещи как sniffing in the switching enveropment - >>так что ставь лучше роутер, ей богу! :) > > >Вобщем переносим решение пролемы на Network layer и не мудрим, правильно? аминь
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как закрыться от всяких сниферов?"
Сообщение от Michael (??) on 07-Апр-04, 18:54  (MSK)
>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата >пакетов не буду застрахован, так как есть возможность подмены MAC адреса. >Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать >к порту конкретный MAC адрес. Я из таких устройств только Catalist >знаю, это дорого. > >Посоветуйте недорогой свич или другой подход к проблеме. Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, которые стоят не так дорого. например, D-Link DES-3226 а лучше - договориться с провайдером о работе через vpn, например pptp или pppoe. тогда хоть хаб ставьте...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Как закрыться от всяких сниферов?"
	Сообщение от ilya_f (ok) on 08-Апр-04, 11:25  (MSK)
	>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата >>пакетов не буду застрахован, так как есть возможность подмены MAC адреса. >>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать >>к порту конкретный MAC адрес. Я из таких устройств только Catalist >>знаю, это дорого. >> >>Посоветуйте недорогой свич или другой подход к проблеме. > >Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, >которые стоят не так дорого. >например, D-Link DES-3226 > >а лучше - договориться с провайдером о работе через vpn, например pptp >или pppoe. тогда хоть хаб ставьте... Народ, я может подтормаживаю, но проясните. Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в одном будт порт, к которому провайдерское устройство подключено, во втором - порт, к которому подключен наш шлюз, в третьем - порт, к которому подключен шлюз соеседей. Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? Или это чудо D-Link еще и на третьем уровне сетевой модели чего-то может? Спа, Илья.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Как закрыться от всяких сниферов?"
	Сообщение от Simps (ok) on 08-Апр-04, 11:46  (MSK)
	>>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата >>>пакетов не буду застрахован, так как есть возможность подмены MAC адреса. >>>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать >>>к порту конкретный MAC адрес. Я из таких устройств только Catalist >>>знаю, это дорого. >>> >>>Посоветуйте недорогой свич или другой подход к проблеме. >> >>Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, >>которые стоят не так дорого. >>например, D-Link DES-3226 >> >>а лучше - договориться с провайдером о работе через vpn, например pptp >>или pppoe. тогда хоть хаб ставьте... > >Народ, я может подтормаживаю, но проясните. > >Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в >одном будт порт, к которому провайдерское устройство подключено, во втором - >порт, к которому подключен наш шлюз, в третьем - порт, к >которому подключен шлюз соеседей. > >Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? >Или это чудо D-Link еще и на третьем уровне сетевой модели >чего-то может? > >Спа, >Илья. Нет нужен роутер, или провайдер должен будет эти vlan поднять у себя сабинтами (твой и соседей)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Как закрыться от всяких сниферов?"
	Сообщение от Michael (??) on 08-Апр-04, 13:16  (MSK)
	>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в >одном будт порт, к которому провайдерское устройство подключено, во втором - >порт, к которому подключен наш шлюз, в третьем - порт, к >которому подключен шлюз соеседей. тогда никто никого видеть не будет... я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и порт провайдера, а в VLAN-2 будут входить порт соседа и порт провайдера. причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову с VLAN-ами. или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить... к сожалению, не могу на своем свиче попробовать - нельзя его из сети выдернуть для экспериментов... >Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? а зачем маршрутизировать между VLAN-ами? >Или это чудо D-Link еще и на третьем уровне сетевой модели >чего-то может? нет, на третьем эта модель ничего не может.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Как закрыться от всяких сниферов?"
	Сообщение от ilya_f (ok) on 09-Апр-04, 18:08  (MSK)
	>>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в >>одном будт порт, к которому провайдерское устройство подключено, во втором - >>порт, к которому подключен наш шлюз, в третьем - порт, к >>которому подключен шлюз соеседей. >тогда никто никого видеть не будет... >я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и >порт провайдера, а в VLAN-2 будут входить порт соседа и порт >провайдера. >причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову >с VLAN-ами. > >или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить... > >к сожалению, не могу на своем свиче попробовать - нельзя его из >сети выдернуть для экспериментов... > >>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? >а зачем маршрутизировать между VLAN-ами? > >>Или это чудо D-Link еще и на третьем уровне сетевой модели >>чего-то может? >нет, на третьем эта модель ничего не может. Спасибо! Всем ;-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Как закрыться от всяких сниферов?"
	Сообщение от jonik (??) on 21-Апр-04, 17:43  (MSK)
	перестаньте париться воткни в тачку еще одну сетевую и в нее хаб второй конторы
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Как закрыться от всяких сниферов?"
	Сообщение от Michael (??) on 21-Апр-04, 18:08  (MSK)
	>перестаньте париться >воткни в тачку еще одну сетевую и в нее хаб второй конторы и тут же сисадмин этой конторы напишет сюда "Как закрыться от всяких сниферов-2" :)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Как закрыться от всяких сниферов?"
	Сообщение от Nikolaev D. on 25-Апр-04, 22:48  (MSK)
	>>перестаньте париться >>воткни в тачку еще одну сетевую и в нее хаб второй конторы > >и тут же сисадмин этой конторы напишет сюда "Как закрыться от всяких >сниферов-2" :))) посему надо пинать провайдера, что бы он соседней конторе выделил порт с ПРОВАЙДЕРСКОМ девайсе.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.