здраствуйте...

в общем ситуация: коммутаторы вышеназваного типа (или подобные) будут установлены в местах куда будут иметь доступ посторонние люди (так уж получается). физически доступ к ним ограничить не получается (по независящим от нас причинам).

задача: сделать так, что б ежели даже злоумышленик смог получить физический доступ к данному устройству- восспользоватся в корыстных целях он им не смог. но с другой стороны админы могли бы удалённо с ним работать.



если можно- дайте как можно более исчёрпывающий ответ, понятный более мение так сказать не шибко знающему человеку...

заранее спасибо.

Завести учётные записи с разным уровнем доуступа. Использовать функцию Trusted Host/Subnet. Это как минимум.

_________________
С уважением,
Бигаров Руслан.

Port Security, IMP, 802.1x авторизация.

с завести учётки с разным уровнем доступа эт понятно ок.

дальше...

механизм Trusted Host (доверенные узлы) . Поддержка функции Trusted Host – управление только с заданных IP-адресов - можно перечислить список компьютеров или указать подсети, протоколы и порты, активность на которых не будет восприниматься или наоборот- разрешить только те которыми мы пользуемся- я правильно понял ваше предложение? если да то можно чуток поподробнее или где можно об этом узнать получше? как она реализована в данных устройствах? (DES-3828)
добавления адресов в trusted hosts запрещает только лишь ввод пароля т.е. если айпи нет в списке то введя правильный пароль на нее не попадешь всёравно- вот таким образом?

а Trusted Subnet - это доверенная маска подсети- то биш можно указать опеределённую подсеть для которой разрешена работа с камутатором так?

использование CPU Interface filtering (некоторые пакеты, полученные коммутатором, должны быть направлены на обработку в CPU и эти пакеты не могут быть отфильтрованы аппаратными ACL. Например, пакет, в котором MAC-адрес назначения - это MAC-адрес коммутатора. (ping на IP-адрес коммутатора)- решение этого CPU Interface filtering)

Функция CPU Interface Filtering позволяет создать ACL на управляющем интерфейсе коммутатора, тем самым предотвращая обработку нежелательных пакетов CPU. Может использоваться, например, для ограничения административного доступа к коммутатору -

можно поподробнее об этом? как реализовать в моём случае? или опять же где почитать об этом?

Port Security

если к примеру
Port Security на порту 1 был указан как
Port 1
Admin State Enabled
Maxium Learning Address 2
Lock Address Mode Permanent

то есть можно подключить 2 мак адреса?

получается с помощью этой функции можно конкретные мак адреса привязать к свичу и никто кроме этих маков не может присоеденится?




IMP - это вообще что?((( никакой инфы найти не смог... если можете дайте ссылочку где почитать - или же объясните как применить в моей ситуации...


802.1x авторизация - а вот за это огромное спасибо всё понятно... инфы куча) есчо раз спасибо за наводку... темнимение если будут вопросы- обязательно задам)




p.s. вы заранее извините за ламерский подход к этому делу- для меня дело новое а начальство требует... заранее спасибо за помощь)

Укажите в личку Ваш телефон пожалуйста.

указал)

чё народ больше никто ничего прокоментировать не может? (

ребят... я понимаю что вопрос не по теме маломало форума- но темнимение- обратится больше некуда- на вас одна надежда...

смысл- всё вышеуказаное вами подходит только если злоумышленик получает доступ к комутатору...

а что - какие варианты противодействия есть- если злоумышленик подключается ВМЕСТО комутатора? (((

Вообще, коммутаторы должны стоять в стойке, которая в свою очередь должна находиться в серверной, куда должен быть ограничен доступ.

_________________
С уважением,
Бигаров Руслан.

как писалось выше- к сожалению физический доступ будет не ограничен((( железо будет стоят за красивой стекляной прозрачной дверцей это раз + там будет не тока наше оборудование... дверца запираться на ключик махонький будет- то биш- физической защиты- никакой....

так что таварищи- никаких идей? (

Я Вам завтра позвоню.

буду ждать)


а тем временем- тут такой форум активный- неужто никто подсказать неможет чтонить по моим вопросам скромным? )

Надеюсь разговор прояснил несколько ситуацию.

да спасибо за звонок) а есчо говорят в москве люди чёрствые)))