форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Посоветуйте Секъюрный Свич, С доступом по MAC"

Сообщение от Алексей (??) on 06-Дек-06, 09:59

Необходима железка, на 24-48 портов Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые у нее не прописанны). С возможность Блокировки Консоли, и Управления через WEB либо телнетом. Посоветуйте плиз. Можно Нортел, Циско, 3КОМ. и тд. Кратко ситуация: может есть решение правильней.... Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки" (есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича ставить в соответствие ПОРТ-АДРЕС )

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Посоветуйте Секъюрный Свич, С доступом по MAC"

Сообщение от silencer (ok) on 06-Дек-06, 10:42

>Необходима железка, на 24-48 портов >Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые >у нее не прописанны). С возможность Блокировки Консоли, и Управления через >WEB либо телнетом. > >Посоветуйте плиз. >Можно Нортел, Циско, 3КОМ. и тд. > >Кратко ситуация: может есть решение правильней.... > >Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный >трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки" >(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича >ставить в соответствие ПОРТ-АДРЕС ) Копай в сторону динамических VLAN'ов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от Алексей (??) on 06-Дек-06, 10:47
	>>Необходима железка, на 24-48 портов >>Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые >>у нее не прописанны). С возможность Блокировки Консоли, и Управления через >>WEB либо телнетом. >> >>Посоветуйте плиз. >>Можно Нортел, Циско, 3КОМ. и тд. >> >>Кратко ситуация: может есть решение правильней.... >> >>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный >>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки" >>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича >>ставить в соответствие ПОРТ-АДРЕС ) > >Копай в сторону динамических VLAN'ов. Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ, в Чужом помешении. И все кобеля с наших комнат туда скомутируются.. тоесть там чужих конекторов не будет. Но, если кто то втыркнится, надо чтоб он ничего не увидел.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от scrappy (??) on 06-Дек-06, 11:23
	>>>Необходима железка, на 24-48 портов >>>Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые >>>у нее не прописанны). С возможность Блокировки Консоли, и Управления через >>>WEB либо телнетом. >>> >>>Посоветуйте плиз. >>>Можно Нортел, Циско, 3КОМ. и тд. >>> >>>Кратко ситуация: может есть решение правильней.... >>> >>>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный >>>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки" >>>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича >>>ставить в соответствие ПОРТ-АДРЕС ) >> >>Копай в сторону динамических VLAN'ов. > > >Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ, >в Чужом помешении. И все кобеля с наших комнат туда скомутируются.. >тоесть там чужих конекторов не будет. >Но, если кто то втыркнится, надо чтоб он ничего не увидел. > Cisco Catalyst это умеет и помоемому начиная с 2950 и выше Там даже на каждом порту можно прописать какие mac на порт пускать...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от vorch on 06-Дек-06, 12:01
	Я думаю, что есть решение правильней. Использовать 802.1х плюс radius (например поднять freeradius на какой-нить дохлой машине, либо поднять это дело на Windows Server'e). Тогда точно никто воткнувшийся ничего не получит. Возможность задавать статикой mac-адреса на портах есть у многих коммутаторов, например, Cisco Catalyst 2950 и ZyXEL ES-2024A (или ES-2108). 802.1x там тоже имеется. По мак-адресам защита не сильно надежная, как говорится от честных людей :-) Злоумышленнику достаточно вытащить ваш кабель из коммутатора и воткнуть его в свой ноут, и он тут же получит ваш mac и ваш ip. Затем перебить на сетевухе mac и ip и воткнуться в порт, откуда он выдернул кабель тоже достаточно просто. 802.1х полностью решает эти проблемы. Пароли в открытом виде не передаются, только хэш. Есть возможность использовать сертификаты - для пользователя становится вообще все прозрачно. Воткнул кабель и работай. Для злоумышленника задача практически неразрешимая
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от Алексей (??) on 06-Дек-06, 12:42
	>Я думаю, что есть решение правильней. Использовать 802.1х плюс radius (например поднять >freeradius на какой-нить дохлой машине, либо поднять это дело на Windows >Server'e). Тогда точно никто воткнувшийся ничего не получит. >Возможность задавать статикой mac-адреса на портах есть у многих коммутаторов, например, Cisco >Catalyst 2950 и ZyXEL ES-2024A (или ES-2108). 802.1x там тоже имеется. > >По мак-адресам защита не сильно надежная, как говорится от честных людей :-) >Злоумышленнику достаточно вытащить ваш кабель из коммутатора и воткнуть его в >свой ноут, и он тут же получит ваш mac и ваш >ip. Затем перебить на сетевухе mac и ip и воткнуться в >порт, откуда он выдернул кабель тоже достаточно просто. 802.1х полностью решает >эти проблемы. Пароли в открытом виде не передаются, только хэш. Есть >возможность использовать сертификаты - для пользователя становится вообще все прозрачно. Воткнул >кабель и работай. Для злоумышленника задача практически неразрешимая Почитал доки проникся.. смысл понятен. Тогда может подскажите как авторизировать компы на которых стоит Freebsd (сервера) и NOVEL? В остальном вроде все ясно, и еше момент если из свича выдернуть сам радиус и воткнутся туда буком... получится посниферить уже выданные IP? я так понимаю порт где сидит радиус настраивается на постоянку?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от vorch on 07-Дек-06, 10:59
	>Почитал доки проникся.. смысл понятен. >Тогда может подскажите как авторизировать компы на которых стоит Freebsd (сервера) >и NOVEL? За авторизацию отвечает специальная программа-сапликант, в ее задачу входит отловить запрос на авторизацию и провести всю процедуру. В Windows XP и Windows 2003 Server саппликант интегрирован в саму систему (вкладка Authentication в свойствах сетевого подключения), для других систем существуют сторонние разработки (в том числе и Open Source). Полагаю, что решение для FreeBSD уж точно есть. Для Novell - не знаю. >В остальном вроде все ясно, >и еше момент если из свича выдернуть сам радиус и воткнутся туда >буком... получится посниферить уже выданные IP? я так понимаю порт где >сидит радиус настраивается на постоянку? Радиус не привязывается к конкретному порту, главное чтобы он был доступен коммутатору на уровне IP (это значит, что для простого L2 коммутатора Radius должен быть включен в управляющий влан), порт при этом абсолютно не важен. Если вы выдернете кабель, которым подключен Радиус, то все уже авторизованные пользователи продолжат работу, а при попытке авторизации кого-либо еще коммутатор пошлет запрос Радиусу, тот не ответит. Через таймаут свитч поймет, что Радиус сдох и если не предусмотрена локальная авторизация, то клиент получит отказ. Никакой важной информации злоумышленник не получит. Подключив себя вместо Радиуса злоумышленник окажется в управляющем влане, что само по себе конечно плохо. Максимум что он получит - это адрес управляющего интерфейса коммутатора. Но при правильных настройках коммутатора доступ к нему он не получит. По поводу того, что злоумышленник может подсунуть свой Радиус - на этот счет предусмотрен shared secret. И последнее - поскольку вы говорите, что свитч физически доступен посторонним, обратите особое внимание на настройки самого свитча. Пароли должны быть установлены ВЕЗДЕ (на телнет, на консоль, SNMP community и т.д.) и пароли сложные. Если это циска - настройте невозможность сброса пароля с сохранением конфигурации.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от dae (ok) on 06-Дек-06, 19:56
	> >Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ, >в Чужом помешении. И все кобеля с наших комнат туда скомутируются.. >тоесть там чужих конекторов не будет. >Но, если кто то втыркнится, надо чтоб он ничего не увидел. > а в чем проблема? это поддерживает любой коммутатор (не хаб) изначально
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от Кирилл (??) on 07-Дек-06, 09:33
	>> >>Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ, >>в Чужом помешении. И все кобеля с наших комнат туда скомутируются.. >>тоесть там чужих конекторов не будет. >>Но, если кто то втыркнится, надо чтоб он ничего не увидел. >> > >а в чем проблема? это поддерживает любой коммутатор (не хаб) изначально не скажите..не любой коммутатор это поддерживает. в что коммутатор с vlan не подойдет?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от Lacunacoil (ok) on 07-Дек-06, 09:55
	>>> >>>Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ, >>>в Чужом помешении. И все кобеля с наших комнат туда скомутируются.. >>>тоесть там чужих конекторов не будет. >>>Но, если кто то втыркнится, надо чтоб он ничего не увидел. >>> >> >>а в чем проблема? это поддерживает любой коммутатор (не хаб) изначально > >не скажите..не любой коммутатор это поддерживает. >в что коммутатор с vlan не подойдет? в любом случае это не безопасно... для защиты трафика придумали ipsec. Так как если есть доступ к комутатору физически то можно сделать все что угодно с ним. Например перенастроить радиус на свой:)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от Владимир (??) on 07-Дек-06, 11:02
	Даже WS-C2950-24 имеет привязку порт-мак, достуа на телнет можно ограничить ACL-ами. Правда, если товарисчи запустят ARP флуд, то никто не помещает снифером половить трафик. И кнопочку mode можно ещё нажать, и обнулить циску... А вообще стоит действительно смотреть в строну IP Sec IMHO.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от Алексей (??) on 07-Дек-06, 11:23
	>Даже WS-C2950-24 имеет привязку порт-мак, достуа на телнет можно ограничить ACL-ами. Правда, >если товарисчи запустят ARP флуд, то никто не помещает снифером половить >трафик. И кнопочку mode можно ещё нажать, и обнулить циску... А >вообще стоит действительно смотреть в строну IP Sec IMHO. Это временный офис пока ремонт в основном. Временная схема... Обшая серверная в здании куда скомутированны все розетки... Возможно сотрудники даже будут в разных помешениях... в каждом IPSEC ставить? Невариант. + На компах стоит спецефический софт (Для трединга) Требует именно прямой коннект.. У всех риал IP (своя сетка /25) все за роутером... Радиус думаю поднять на нем же... И с помошщью отдельного ВЛАНА на 2 порта прокинуть Интернет канал на свой роутер в свою комнату. Пока думаю о Nortel Ethernet Routing Switch 5510 http://www.stimsk.ru/index.php?cpage=switch5510&lbk=mtech_su... и схема с Радиусом. Буду благодарен, если кто знает как настроить Novel и Freebsd для такой аунтификации....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от Николай (??) on 07-Дек-06, 11:41
	Если хочешь безопасности строй IPSec или VPN. Привязка по МАС на 2006 год это смешно - любой школьник подделает МАС не говоря о АйПи. На мой взгляд авторизацию по 802.х (если нет вообще ничего) подымать накладно и долго (Radius + 802.2x + CA или пароли заводить или синхриться с AD/LDAP )отдельная тема разговора да и глюков там еще хватает (например в  винде нельзя прописать последовательность загрузки сервисов - вот и получается что новелл клиент автоматом стартует раньше чем появляется сеть :)) ) а если Радиус слетит :) в то время как IPSec или VPN поддерживаются стандартными ОСями. Хотя что то что другое требует настроек на стороне клиента и элегантного решения нет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от dae (??) on 07-Дек-06, 15:09
	Коллеги по цеху! Может я что-то не понял в вопросе? Дано: железка стоит в чужом помещении. Задача1: если кто-то включиться, то чтоб не смог перехватывать трафик Решение1: коммутатор любого производителя Пояснение1: главное, чтоб коммутатор не поддерживал мирроринг портов Задача2: если кто-то включится вместо работающей станции, подснифферит ее мас и ip адреса, то чтоб не смог общаться с другими раб. станциями Решение2: авторизация по логину\паролю, на канальном уровне коммутатор любого производителя Пояснение2: PPPoE, VPN, IPSec Объясните мне, причем здесь выбор коммутатора?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Посоветуйте Секъюрный Свич, С доступом по MAC"
	Сообщение от Алексей (??) on 07-Дек-06, 15:30
	>Коллеги по цеху! > >Может я что-то не понял в вопросе? >Дано: железка стоит в чужом помещении. >Задача1: если кто-то включиться, то чтоб не смог перехватывать трафик >Решение1: коммутатор любого производителя >Пояснение1: главное, чтоб коммутатор не поддерживал мирроринг портов > >Задача2: если кто-то включится вместо работающей станции, подснифферит ее мас и ip >адреса, то чтоб не смог общаться с другими раб. станциями >Решение2: авторизация по логину\паролю, на канальном уровне коммутатор любого производителя >Пояснение2: PPPoE, VPN, IPSec > >Объясните мне, причем здесь выбор коммутатора? Совершенно верно. Задачи и решения правильные, вопрос поставлен не так. Вопрос я задал не совсем коректно... я на том момент не знал о IEEE 802.1x и радиусе. А IPSEC подымать в каждом кабинете... нерезон. Вошем как обычно в споре родилась истина =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "а"
	Сообщение от Vlad (??) on 11-Дек-06, 08:23
	зачем там радиус? на 2-3 десятка пользователей к томуж временно, любой свич локально список пользователей потянет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Посоветуйте Секъюрный Свич, С доступом по MAC"

Сообщение от Jo on 11-Дек-06, 21:24

Zyxel ES2024A

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Посоветуйте Секъюрный Свич, С доступом по MAC"

Сообщение от Bootchie on 05-Мрт-08, 14:39

>[оверквотинг удален] > >Посоветуйте плиз. >Можно Нортел, Циско, 3КОМ. и тд. > >Кратко ситуация: может есть решение правильней.... > >Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный >трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки" >(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича >ставить в соответствие ПОРТ-АДРЕС ) D-Link 3526

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]