The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Посоветуйте Секъюрный Свич, С доступом по MAC"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Алексей email(??) on 06-Дек-06, 09:59 
Необходима железка, на 24-48 портов
Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые у нее не прописанны). С возможность Блокировки Консоли, и Управления через WEB либо телнетом.

Посоветуйте плиз.
Можно Нортел, Циско, 3КОМ. и тд.

Кратко ситуация: может есть решение правильней....

Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича ставить в соответствие ПОРТ-АДРЕС )

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от silencer email(ok) on 06-Дек-06, 10:42 
>Необходима железка, на 24-48 портов
>Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые
>у нее не прописанны). С возможность Блокировки Консоли, и Управления через
>WEB либо телнетом.
>
>Посоветуйте плиз.
>Можно Нортел, Циско, 3КОМ. и тд.
>
>Кратко ситуация: может есть решение правильней....
>
>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный
>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича
>ставить в соответствие ПОРТ-АДРЕС )

Копай в сторону динамических VLAN'ов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Алексей email(??) on 06-Дек-06, 10:47 
>>Необходима железка, на 24-48 портов
>>Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые
>>у нее не прописанны). С возможность Блокировки Консоли, и Управления через
>>WEB либо телнетом.
>>
>>Посоветуйте плиз.
>>Можно Нортел, Циско, 3КОМ. и тд.
>>
>>Кратко ситуация: может есть решение правильней....
>>
>>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный
>>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
>>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича
>>ставить в соответствие ПОРТ-АДРЕС )
>
>Копай в сторону динамических VLAN'ов.


Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ, в Чужом помешении. И все кобеля с наших комнат туда скомутируются.. тоесть там чужих конекторов не будет.
Но, если кто то втыркнится, надо чтоб он ничего не увидел.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от scrappy (??) on 06-Дек-06, 11:23 
>>>Необходима железка, на 24-48 портов
>>>Которую можно научить не принимать (Не обслуживать) подключение с MAC адресов которые
>>>у нее не прописанны). С возможность Блокировки Консоли, и Управления через
>>>WEB либо телнетом.
>>>
>>>Посоветуйте плиз.
>>>Можно Нортел, Циско, 3КОМ. и тд.
>>>
>>>Кратко ситуация: может есть решение правильней....
>>>
>>>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный
>>>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
>>>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича
>>>ставить в соответствие ПОРТ-АДРЕС )
>>
>>Копай в сторону динамических VLAN'ов.
>
>
>Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ,
>в Чужом помешении. И все кобеля с наших комнат туда скомутируются..
>тоесть там чужих конекторов не будет.
>Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>


Cisco Catalyst это умеет и помоемому начиная с 2950 и выше Там даже на каждом порту можно прописать какие mac на порт пускать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от vorch on 06-Дек-06, 12:01 
Я думаю, что есть решение правильней. Использовать 802.1х плюс radius (например поднять freeradius на какой-нить дохлой машине, либо поднять это дело на Windows Server'e). Тогда точно никто воткнувшийся ничего не получит.
Возможность задавать статикой mac-адреса на портах есть у многих коммутаторов, например, Cisco Catalyst 2950 и ZyXEL ES-2024A (или ES-2108). 802.1x там тоже имеется.
По мак-адресам защита не сильно надежная, как говорится от честных людей :-) Злоумышленнику достаточно вытащить ваш кабель из коммутатора и воткнуть его в свой ноут, и он тут же получит ваш mac и ваш ip. Затем перебить на сетевухе mac и ip и воткнуться в порт, откуда он выдернул кабель тоже достаточно просто. 802.1х полностью решает эти проблемы. Пароли в открытом виде не передаются, только хэш. Есть возможность использовать сертификаты - для пользователя становится вообще все прозрачно. Воткнул кабель и работай. Для злоумышленника задача практически неразрешимая
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Алексей email(??) on 06-Дек-06, 12:42 
>Я думаю, что есть решение правильней. Использовать 802.1х плюс radius (например поднять
>freeradius на какой-нить дохлой машине, либо поднять это дело на Windows
>Server'e). Тогда точно никто воткнувшийся ничего не получит.
>Возможность задавать статикой mac-адреса на портах есть у многих коммутаторов, например, Cisco
>Catalyst 2950 и ZyXEL ES-2024A (или ES-2108). 802.1x там тоже имеется.
>
>По мак-адресам защита не сильно надежная, как говорится от честных людей :-)
>Злоумышленнику достаточно вытащить ваш кабель из коммутатора и воткнуть его в
>свой ноут, и он тут же получит ваш mac и ваш
>ip. Затем перебить на сетевухе mac и ip и воткнуться в
>порт, откуда он выдернул кабель тоже достаточно просто. 802.1х полностью решает
>эти проблемы. Пароли в открытом виде не передаются, только хэш. Есть
>возможность использовать сертификаты - для пользователя становится вообще все прозрачно. Воткнул
>кабель и работай. Для злоумышленника задача практически неразрешимая

Почитал доки проникся.. смысл понятен.
Тогда может подскажите как авторизировать компы на которых стоит Freebsd (сервера)
и NOVEL?

В остальном вроде все ясно,
и еше момент если из свича выдернуть сам радиус и воткнутся туда буком... получится посниферить уже выданные IP? я так понимаю порт где сидит радиус настраивается на постоянку?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от vorch on 07-Дек-06, 10:59 
>Почитал доки проникся.. смысл понятен.
>Тогда может подскажите как авторизировать компы на которых стоит Freebsd (сервера)
>и NOVEL?
За авторизацию отвечает специальная программа-сапликант, в ее задачу входит отловить запрос на авторизацию и провести всю процедуру. В Windows XP и Windows 2003 Server саппликант интегрирован в саму систему (вкладка Authentication в свойствах сетевого подключения), для других систем существуют сторонние разработки (в том числе и Open Source). Полагаю, что решение для FreeBSD уж точно есть. Для Novell - не знаю.


>В остальном вроде все ясно,
>и еше момент если из свича выдернуть сам радиус и воткнутся туда
>буком... получится посниферить уже выданные IP? я так понимаю порт где
>сидит радиус настраивается на постоянку?
Радиус не привязывается к конкретному порту, главное чтобы он был доступен коммутатору на уровне IP (это значит, что для простого L2 коммутатора Radius должен быть включен в управляющий влан), порт при этом абсолютно не важен.
Если вы выдернете кабель, которым подключен Радиус, то все уже авторизованные пользователи продолжат работу, а при попытке авторизации кого-либо еще коммутатор пошлет запрос Радиусу, тот не ответит. Через таймаут свитч поймет, что Радиус сдох и если не предусмотрена локальная авторизация, то клиент получит отказ. Никакой важной информации злоумышленник не получит.
Подключив себя вместо Радиуса злоумышленник окажется в управляющем влане, что само по себе конечно плохо. Максимум что он получит - это адрес управляющего интерфейса коммутатора. Но при правильных настройках коммутатора доступ к нему он не получит.
По поводу того, что злоумышленник может подсунуть свой Радиус - на этот счет предусмотрен shared secret.
И последнее - поскольку вы говорите, что свитч физически доступен посторонним, обратите особое внимание на настройки самого свитча. Пароли должны быть установлены ВЕЗДЕ (на телнет, на консоль, SNMP community и т.д.) и пароли сложные. Если это циска - настройте невозможность сброса пароля с сохранением конфигурации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от dae (ok) on 06-Дек-06, 19:56 
>
>Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ,
>в Чужом помешении. И все кобеля с наших комнат туда скомутируются..
>тоесть там чужих конекторов не будет.
>Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>

а в чем проблема? это поддерживает любой коммутатор (не хаб) изначально

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Кирилл (??) on 07-Дек-06, 09:33 
>>
>>Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ,
>>в Чужом помешении. И все кобеля с наших комнат туда скомутируются..
>>тоесть там чужих конекторов не будет.
>>Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>>
>
>а в чем проблема? это поддерживает любой коммутатор (не хаб) изначально

не скажите..не любой коммутатор это поддерживает.
в что коммутатор с vlan не подойдет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Lacunacoil email(ok) on 07-Дек-06, 09:55 
>>>
>>>Поясню еше.  Имеется в виду свич НАШ с В Чужой СТОЙКЕ,
>>>в Чужом помешении. И все кобеля с наших комнат туда скомутируются..
>>>тоесть там чужих конекторов не будет.
>>>Но, если кто то втыркнится, надо чтоб он ничего не увидел.
>>>
>>
>>а в чем проблема? это поддерживает любой коммутатор (не хаб) изначально
>
>не скажите..не любой коммутатор это поддерживает.
>в что коммутатор с vlan не подойдет?


в любом случае это не безопасно... для защиты трафика придумали ipsec.
Так как если есть доступ к комутатору физически то можно сделать все что угодно с ним.
Например перенастроить радиус на свой:)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Владимир (??) on 07-Дек-06, 11:02 
Даже WS-C2950-24 имеет привязку порт-мак, достуа на телнет можно ограничить ACL-ами. Правда, если товарисчи запустят ARP флуд, то никто не помещает снифером половить трафик. И кнопочку mode можно ещё нажать, и обнулить циску... А вообще стоит действительно смотреть в строну IP Sec IMHO.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Алексей email(??) on 07-Дек-06, 11:23 
>Даже WS-C2950-24 имеет привязку порт-мак, достуа на телнет можно ограничить ACL-ами. Правда,
>если товарисчи запустят ARP флуд, то никто не помещает снифером половить
>трафик. И кнопочку mode можно ещё нажать, и обнулить циску... А
>вообще стоит действительно смотреть в строну IP Sec IMHO.

Это временный офис пока ремонт в основном. Временная схема... Обшая серверная в здании куда скомутированны все розетки...
Возможно сотрудники даже будут в разных помешениях...
в каждом IPSEC ставить? Невариант.
+ На компах стоит спецефический софт (Для трединга) Требует именно прямой коннект..
У всех риал IP (своя сетка /25) все за роутером... Радиус думаю поднять на нем же...
И с помошщью отдельного ВЛАНА на 2 порта прокинуть Интернет канал на свой роутер в свою комнату.


Пока думаю о
Nortel Ethernet Routing Switch 5510
http://www.stimsk.ru/index.php?cpage=switch5510&lbk=mtech_su...
и схема с Радиусом.

Буду благодарен, если кто знает как настроить Novel и Freebsd для такой аунтификации....


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Николай email(??) on 07-Дек-06, 11:41 
Если хочешь безопасности строй IPSec или VPN. Привязка по МАС на 2006 год это смешно - любой школьник подделает МАС не говоря о АйПи. На мой взгляд авторизацию по 802.х (если нет вообще ничего) подымать накладно и долго (Radius + 802.2x + CA или пароли заводить или синхриться с AD/LDAP )отдельная тема разговора да и глюков там еще хватает (например в  винде нельзя прописать последовательность загрузки сервисов - вот и получается что новелл клиент автоматом стартует раньше чем появляется сеть :)) ) а если Радиус слетит :) в то время как IPSec или VPN поддерживаются стандартными ОСями. Хотя что то что другое требует настроек на стороне клиента и элегантного решения нет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от dae (??) on 07-Дек-06, 15:09 
Коллеги по цеху!

Может я что-то не понял в вопросе?
Дано: железка стоит в чужом помещении.
Задача1: если кто-то включиться, то чтоб не смог перехватывать трафик
Решение1: коммутатор любого производителя
Пояснение1: главное, чтоб коммутатор не поддерживал мирроринг портов

Задача2: если кто-то включится вместо работающей станции, подснифферит ее мас и ip адреса, то чтоб не смог общаться с другими раб. станциями
Решение2: авторизация по логину\паролю, на канальном уровне коммутатор любого производителя
Пояснение2: PPPoE, VPN, IPSec

Объясните мне, причем здесь выбор коммутатора?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Алексей email(??) on 07-Дек-06, 15:30 
>Коллеги по цеху!
>
>Может я что-то не понял в вопросе?
>Дано: железка стоит в чужом помещении.
>Задача1: если кто-то включиться, то чтоб не смог перехватывать трафик
>Решение1: коммутатор любого производителя
>Пояснение1: главное, чтоб коммутатор не поддерживал мирроринг портов
>
>Задача2: если кто-то включится вместо работающей станции, подснифферит ее мас и ip
>адреса, то чтоб не смог общаться с другими раб. станциями
>Решение2: авторизация по логину\паролю, на канальном уровне коммутатор любого производителя
>Пояснение2: PPPoE, VPN, IPSec
>
>Объясните мне, причем здесь выбор коммутатора?


Совершенно верно.
Задачи и решения правильные, вопрос поставлен не так.
Вопрос я задал не совсем коректно... я на том момент не знал о IEEE 802.1x и радиусе.
А IPSEC подымать в каждом кабинете... нерезон.

Вошем как обычно в споре родилась истина =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "а"  
Сообщение от Vlad (??) on 11-Дек-06, 08:23 
зачем там радиус?
на 2-3 десятка пользователей к томуж временно, любой свич локально список пользователей потянет
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Jo on 11-Дек-06, 21:24 
Zyxel ES2024A

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Посоветуйте Секъюрный Свич, С доступом по MAC"  
Сообщение от Bootchie on 05-Мрт-08, 14:39 
>[оверквотинг удален]
>
>Посоветуйте плиз.
>Можно Нортел, Циско, 3КОМ. и тд.
>
>Кратко ситуация: может есть решение правильней....
>
>Свич стоит в обшей серверной офисного здания, внутри нашей сетки гоняется секртный
>трафик, не для посторонних глаз. Нужно исключить возможность его "прослушки"
>(есть конечно возможность отловить МАС аадреса, Как выход вижу - способность свича
>ставить в соответствие ПОРТ-АДРЕС )

D-Link 3526

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру