The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как закрыться от всяких сниферов?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как закрыться от всяких сниферов?"
Сообщение от ilya_f Искать по авторуВ закладки(ok) on 07-Апр-04, 14:30  (MSK)
Добрый всем день,

Такая ситуация. Контора подключена к Интернету следующим образом:

Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего шлюза, который тоже с реальным IP. Оставляю за скобками модели всех этих устройств, так как вопрос не по их функциональности.

Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть.

Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности.

Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата пакетов не буду застрахован, так как есть возможность подмены MAC адреса. Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать к порту конкретный MAC адрес. Я из таких устройств только Catalist знаю, это дорого.

Посоветуйте недорогой свич или другой подход к проблеме.

Спасибо,

Илья.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Как закрыться от всяких сниферов?"
Сообщение от .zZz. emailИскать по авторуВ закладки(??) on 07-Апр-04, 14:51  (MSK)
>Добрый всем день,
>
>Такая ситуация. Контора подключена к Интернету следующим образом:
>
>Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на
>нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего
>шлюза, который тоже с реальным IP. Оставляю за скобками модели всех
>этих устройств, так как вопрос не по их функциональности.
>
>Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не
>обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом
>поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего
>шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть.
>
>
>Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности.
>
>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
>к порту конкретный MAC адрес. Я из таких устройств только Catalist
>знаю, это дорого.
>
>Посоветуйте недорогой свич или другой подход к проблеме.
>
>Спасибо,
>
>Илья.
свитчи подешевле - 3com (например, SuperStackII 1100) и D-Link (например, DES-3226)
а вообще, поможет любой свитч, поддерживающий 802.11q (vlan)
если есть договорённость с провайдером - тока в путь...
Либо, юних с тремя сетевыми карточками - и делай чё хочешь :)

ЗЫ 2-е по-любому правильнее :)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Как закрыться от всяких сниферов?"
Сообщение от .zZz. emailИскать по авторуВ закладки(??) on 07-Апр-04, 14:53  (MSK)
кстати, есть ещё такие вещи как sniffing in the switching enveropment - так что ставь лучше роутер, ей богу! :)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Как закрыться от всяких сниферов?"
Сообщение от ilya_f Искать по авторуВ закладки(ok) on 07-Апр-04, 15:04  (MSK)
>кстати, есть ещё такие вещи как sniffing in the switching enveropment -
>так что ставь лучше роутер, ей богу! :)


Вобщем переносим решение пролемы на Network layer и не мудрим, правильно?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Как закрыться от всяких сниферов?"
Сообщение от .zZz. emailИскать по авторуВ закладки(??) on 07-Апр-04, 16:46  (MSK)
>>кстати, есть ещё такие вещи как sniffing in the switching enveropment -
>>так что ставь лучше роутер, ей богу! :)
>
>
>Вобщем переносим решение пролемы на Network layer и не мудрим, правильно?
аминь
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как закрыться от всяких сниферов?"
Сообщение от Michael emailИскать по авторуВ закладки(??) on 07-Апр-04, 18:54  (MSK)
>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
>к порту конкретный MAC адрес. Я из таких устройств только Catalist
>знаю, это дорого.
>
>Посоветуйте недорогой свич или другой подход к проблеме.

Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, которые стоят не так дорого.
например, D-Link DES-3226

а лучше - договориться с провайдером о работе через vpn, например pptp или pppoe. тогда хоть хаб ставьте...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Как закрыться от всяких сниферов?"
Сообщение от ilya_f Искать по авторуВ закладки(ok) on 08-Апр-04, 11:25  (MSK)
>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
>>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
>>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
>>к порту конкретный MAC адрес. Я из таких устройств только Catalist
>>знаю, это дорого.
>>
>>Посоветуйте недорогой свич или другой подход к проблеме.
>
>Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов,
>которые стоят не так дорого.
>например, D-Link DES-3226
>
>а лучше - договориться с провайдером о работе через vpn, например pptp
>или pppoe. тогда хоть хаб ставьте...

Народ, я может подтормаживаю, но проясните.

Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в одном будт порт, к которому провайдерское устройство подключено, во втором - порт, к которому подключен наш шлюз, в третьем - порт, к которому подключен шлюз соеседей.

Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? Или это чудо D-Link еще и на третьем уровне сетевой модели чего-то может?

Спа,
Илья.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Как закрыться от всяких сниферов?"
Сообщение от Simps emailИскать по авторуВ закладки(ok) on 08-Апр-04, 11:46  (MSK)
>>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
>>>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
>>>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
>>>к порту конкретный MAC адрес. Я из таких устройств только Catalist
>>>знаю, это дорого.
>>>
>>>Посоветуйте недорогой свич или другой подход к проблеме.
>>
>>Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов,
>>которые стоят не так дорого.
>>например, D-Link DES-3226
>>
>>а лучше - договориться с провайдером о работе через vpn, например pptp
>>или pppoe. тогда хоть хаб ставьте...
>
>Народ, я может подтормаживаю, но проясните.
>
>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
>одном будт порт, к которому провайдерское устройство подключено, во втором -
>порт, к которому подключен наш шлюз, в третьем - порт, к
>которому подключен шлюз соеседей.
>
>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
>Или это чудо D-Link еще и на третьем уровне сетевой модели
>чего-то может?
>
>Спа,
>Илья.
Нет нужен роутер, или провайдер должен будет эти vlan поднять у себя сабинтами (твой и соседей)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Как закрыться от всяких сниферов?"
Сообщение от Michael emailИскать по авторуВ закладки(??) on 08-Апр-04, 13:16  (MSK)
>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
>одном будт порт, к которому провайдерское устройство подключено, во втором -
>порт, к которому подключен наш шлюз, в третьем - порт, к
>которому подключен шлюз соеседей.
тогда никто никого видеть не будет...
я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и порт провайдера, а в VLAN-2 будут входить порт соседа и порт провайдера.
причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову с VLAN-ами.

или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить...

к сожалению, не могу на своем свиче попробовать - нельзя его из сети выдернуть для экспериментов...

>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
а зачем маршрутизировать между VLAN-ами?

>Или это чудо D-Link еще и на третьем уровне сетевой модели
>чего-то может?
нет, на третьем эта модель ничего не может.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Как закрыться от всяких сниферов?"
Сообщение от ilya_f Искать по авторуВ закладки(ok) on 09-Апр-04, 18:08  (MSK)
>>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
>>одном будт порт, к которому провайдерское устройство подключено, во втором -
>>порт, к которому подключен наш шлюз, в третьем - порт, к
>>которому подключен шлюз соеседей.
>тогда никто никого видеть не будет...
>я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и
>порт провайдера, а в VLAN-2 будут входить порт соседа и порт
>провайдера.
>причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову
>с VLAN-ами.
>
>или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить...
>
>к сожалению, не могу на своем свиче попробовать - нельзя его из
>сети выдернуть для экспериментов...
>
>>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
>а зачем маршрутизировать между VLAN-ами?
>
>>Или это чудо D-Link еще и на третьем уровне сетевой модели
>>чего-то может?
>нет, на третьем эта модель ничего не может.


Спасибо! Всем ;-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Как закрыться от всяких сниферов?"
Сообщение от jonik emailИскать по авторуВ закладки(??) on 21-Апр-04, 17:43  (MSK)
перестаньте париться
воткни в тачку еще одну сетевую и в нее хаб второй конторы
  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Как закрыться от всяких сниферов?"
Сообщение от Michael emailИскать по авторуВ закладки(??) on 21-Апр-04, 18:08  (MSK)
>перестаньте париться
>воткни в тачку еще одну сетевую и в нее хаб второй конторы

и тут же сисадмин этой конторы напишет сюда "Как закрыться от всяких сниферов-2" :)))

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Как закрыться от всяких сниферов?"
Сообщение от Nikolaev D. emailИскать по авторуВ закладки on 25-Апр-04, 22:48  (MSK)
>>перестаньте париться
>>воткни в тачку еще одну сетевую и в нее хаб второй конторы
>
>и тут же сисадмин этой конторы напишет сюда "Как закрыться от всяких
>сниферов-2" :)))


посему надо пинать провайдера, что бы он соседней конторе выделил порт с ПРОВАЙДЕРСКОМ девайсе.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру