faq обучение настройка
Текущее время: Пт мар 29, 2024 10:21

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 69 ]  На страницу Пред.  1, 2, 3, 4, 5  След.
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 10:55 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Аминь .... Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 16:22 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Другими словами, правильно ли я понимаю, что не существует действенного способа защиты от подмены пользователем MAC-адреса другого пользователя (не шлюза)?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 18:04 
Не в сети

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353
traffic_segmentation
ACL, возможно IPMB


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 18:44 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
Dyr писал(а):
Другими словами, правильно ли я понимаю, что не существует действенного способа защиты от подмены пользователем MAC-адреса другого пользователя (не шлюза)?

способа защиты - не существует, разве что контролировать клиентский РС или права пользователя на этом РС, а вот защить Вашу сеть - запросто! Вы про IP Mac Binding читали?

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 18:45 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
NoFX писал(а):
traffic_segmentation

М-м-м...пока не совсем представляю, каким образом можно было бы защитится этим, не протягивая вланы до третьего уровня.
Цитата:

ACL, возможно IPMB

ACL - создавая по packet_content_mask правила, разрешающие прохождение arp-пакетов только с его ip/mac? Представляя количество возможных вариантов сочетаний параметров ip/mac в нём, становится немного худо %-О Работает ли уже это у кого-нибудь? Повторюсь - защищаемся в первую очередь от MIM и прочего подгаживания клиентами друг друга, не от подмены шлюза (которое делается той же ACL элементарней).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 19:05 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
snark писал(а):
Dyr писал(а):
Другими словами, правильно ли я понимаю, что не существует действенного способа защиты от подмены пользователем MAC-адреса другого пользователя (не шлюза)?

способа защиты - не существует, разве что контролировать клиентский РС или права пользователя на этом РС, а вот защить Вашу сеть - запросто!

А как бы хотелось какой-нибудь аналог Dynamic ARP Inspection... :cry:
Цитата:

Вы про IP Mac Binding читали?

Читал и у людей спрашивал. Возможно, что-то не так понял, но сложилось впечатление, что ни arp, ни acl mode не помогают при клиентских MiM :cry:
Или я просто не умею их готовить?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 19:33 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
Dyr писал(а):
А как бы хотелось какой-нибудь аналог Dynamic ARP Inspection
вот это что ли?
Cisco писал(а):
DAI determines the validity of an ARP packet based on valid MAC address to IP address bindings stored in a trusted database. This database is built at runtime by DHCP snooping
IP MAC Binding в режиме DHCP Snoop делает то же самое в общем то ...

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 21:16 
Не в сети

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353
Цитата:
М-м-м...пока не совсем представляю, каким образом можно было бы защитится этим, не протягивая вланы до третьего уровня.


ну так вы почитайте что это за функция, она как раз таки служит скорее всего для того чтобы не пользоваться вланами. и никоим образом с ними не связана.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 06, 2008 22:33 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
NoFX писал(а):
Цитата:
М-м-м...пока не совсем представляю, каким образом можно было бы защитится этим, не протягивая вланы до третьего уровня.


ну так вы почитайте что это за функция, она как раз таки служит скорее всего для того чтобы не пользоваться вланами. и никоим образом с ними не связана.

она сделана, чтоб юзеры не видели друг друга на втором уровне - только и всего


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 07, 2008 09:51 
Не в сети

Зарегистрирован: Вт апр 04, 2006 13:18
Сообщений: 357
Откуда: Белгород
IMB спасёт конечно. имхо
только дороговато наверное для провинции :wink:
des-30хх как минимум ставить листьями сети :cry:


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 07, 2008 10:37 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
snark писал(а):
IP MAC Binding в режиме DHCP Snoop делает то же самое в общем то ...

Во-первых, DHCP Snooping нет на 3100 и 3200 (хотелось организовать гигабит до клиента), во-вторых, циска режет правильнее, насколько я понимаю, защищая от arp spoofing'а когда не меняется MAC.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 07, 2008 10:38 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
kapa писал(а):
NoFX писал(а):
Цитата:
М-м-м...пока не совсем представляю, каким образом можно было бы защитится этим, не протягивая вланы до третьего уровня.


ну так вы почитайте что это за функция, она как раз таки служит скорее всего для того чтобы не пользоваться вланами. и никоим образом с ними не связана.

она сделана, чтоб юзеры не видели друг друга на втором уровне - только и всего

Ну так и как они будут друг с другом общатся, через центр? Загнёмся.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 07, 2008 10:39 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
vovo4ka писал(а):
IMB спасёт конечно. имхо
только дороговато наверное для провинции :wink:
des-30хх как минимум ставить листьями сети :cry:

Вряд ли Питер можно назвать провинцией. :D
30хх не проблема абсолютно, есть желание даже сделать всё-таки по гигабиту каждому клиенту.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 07, 2008 11:48 
Не в сети

Зарегистрирован: Вт апр 04, 2006 13:18
Сообщений: 357
Откуда: Белгород
провинция - это я про себя :roll:
если бы позволяли средства, то IMB + GB до клиента. и всё ок :idea:


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 07, 2008 11:59 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Dyr писал(а):
kapa писал(а):
NoFX писал(а):
Цитата:
М-м-м...пока не совсем представляю, каким образом можно было бы защитится этим, не протягивая вланы до третьего уровня.


ну так вы почитайте что это за функция, она как раз таки служит скорее всего для того чтобы не пользоваться вланами. и никоим образом с ними не связана.

она сделана, чтоб юзеры не видели друг друга на втором уровне - только и всего

Ну так и как они будут друг с другом общатся, через центр? Загнёмся.


Dyr писал(а):
vovo4ka писал(а):
IMB спасёт конечно. имхо
только дороговато наверное для провинции :wink:
des-30хх как минимум ставить листьями сети :cry:

Вряд ли Питер можно назвать провинцией. :D
30хх не проблема абсолютно, есть желание даже сделать всё-таки по гигабиту каждому клиенту.

А гигабит клиенту не загнётесь?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 69 ]  На страницу Пред.  1, 2, 3, 4, 5  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 48


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB