Рассматриваем возможность покупки DES-3526 в качестве магистрали , к каждому порту будет подключаться ещё по одному неуправляемому свитчу. К сожалению, в последнее время всё чаще приходится сталкиваться с проблемой кражи интернет-паролей , т.к. большинство пользователей vpn не используют , да и сам ip-спуфинг сильно препятствует нормальной работе сети Будут ли данные свитчи при IP-MAC биндинге фильтровать ARP пакеты ? В частности , скорее интересуют даже ARP response , т.к. в нём содержатся мак и айпи получателя.
Какие ещё существуют методы борьбы с arp-спуфингом , какие пути и продукты вы можете предложить для борьбы с этим явлением? Быть может , даже и не с 3526 свитчом , а свитчами 3 уровня ? Спасибо !

IP-MAC Binding - это не средство борьбы со спуфингом.
Каких-то спец. средств пока нет.
Можно задействовать ACL например для фильтрации ARP пакетов.

_________________
С уважением, Карагезов Владислав

Насколько я правильно понимаю, есть возможность настроить Access Control List занесением всех IP-MAC и последующей проверкой всех arp response на валидность связки IP-MAC для избежания подмены IP ?
Можно ли при этом ещё и вести лог на коммутаторе об обнаружении подмен IP , т.е. с существующим mac , но подменяным IP ?

IP-MAC и ACL - это не связанные друг с другом функции.
Поэтому Вы можете настроить IP-MAC для контроля соответсвия Ip и МАС адреса клиента, подключенного к порту, а ACL применять для контроля пакетов определенного типа, в вашем случае - arp
Кроме того, рекомендую Вам обратиться в наш минский офис - так будет удобнее и быстрее получить исчерпывающую информацию и возможно взять оборудование на тест.
Контакты всех офисов есть на нашем сайте.

_________________
С уважением, Карагезов Владислав

Хорошо , обратимся в Мультисофт. А существуют ли вообще какие-либо методы борьбы с арп-спуфингом кроме полного шифрования и впн ? Если да , то какие ?

Насколько сейчас видится решение данной проблемы :
http://www.avet.com.pl/pipermail/bugdev ... 01087.html
- данный патч (правда староват даёт возможность для ядра линукс отправлять арп-запросы и банить тот мак-адрес , который прислал ответ с неверным IP адресом.
В таком случае можно настроить IP-MAC static на коммутаторах , пользователи с неверным IP или MAC блокируются(??? они не смогут спуфить), если же на arp request сервера приходит ответ со старым мак , но неверным IP , тогда этот мак занимается спуфингом.

вообще-то, я имел ввиду не Мультисофт, а именно офис D-Link:
Офис D-Link в Минске
Беларусь,
220114, Минск,
пр. Независимости, 169, оф. 801-юг
Тел./факс: 375 (17) 218-1361, 375 (17) 218-1362

Региональный менеджер:
Александр Артюшкевич

Консультант по проектам:
Игорь Кормушин

_________________
С уважением, Карагезов Владислав

Можно ли ещё узнать каким образом осуществляется так сказать бан коммутатотром пользователя, если он сменил IP или MAC ( после необходимой настройки acl или ip-mac binding ) - может ли он получать пакеты после смены идентификации ? Пользователь подключается не конкретно в порт коммутатора , а через ещё один коммутатор.

а что значит в данном случае - получать пакеты после смены идентификации?

_________________
С уважением, Карагезов Владислав

Фактически нам нужно чтобы пользователь не мог получать arp response после того , как сменил IP или MAC , связку которых мы укажем на магистральном коммутаторе. Можно ли это организовать ?

если у пользователя связка IP-MAC не совпадает с прописанной - данный пользователь попадает в таблицу заблокированных и не будет иметь возможности что-то передавать в сеть.

_________________
С уважением, Карагезов Владислав