NeedHelp! Posted March 5, 2006 Posted March 5, 2006 Возник следующий вопрос: в нашей сети осуществляется привязка ip адреса к mac адресу сетевой карточки, "умных" свитчей нигде не стоит (да и позволить это мы себе не можем), так что и то и другое меняется на "ура" за пару сек. Какие еще методы защиты можно применить? Заранее благодарен! Вставить ник Quote
Ugnich Anton Posted March 5, 2006 Posted March 5, 2006 Для сети: 1. PPPoE Только для выхода в инет: 2. PPTP 3. Любой конченый убогий биллинг с установкой программы-клиента на стороне юзера, в которую он будет вводить логин и пароль. 4. Прокси Вставить ник Quote
Shiva Posted March 5, 2006 Posted March 5, 2006 Ничего, скоро начнут тырить логины с пасами... Вставить ник Quote
Deac Posted March 5, 2006 Posted March 5, 2006 Прогрессивное человечество не придумало другой надёжной схемы кроме "один клиент -> один порт", так что управляемые свичи необходимы, советую обратить внимание на DES-2108/DES-2116, при всех недостатках соотношение цена-качество вне конкуренции. Вставить ник Quote
NeedHelp! Posted March 6, 2006 Author Posted March 6, 2006 Для сети:1. PPPoE Только для выхода в инет: 2. PPTP 3. Любой конченый убогий биллинг с установкой программы-клиента на стороне юзера, в которую он будет вводить логин и пароль. 4. Прокси Непонял что за "PPPoE" прошу просвятить. Билинг стоит UTM-5, при включенном авторизаторе через сканер пробиваешь mac адре и ип, меняешь и юзаешь инет. Вставить ник Quote
Ugnich Anton Posted March 6, 2006 Posted March 6, 2006 Непонял что за "PPPoE" прошу просвятить. google Билинг стоит UTM-5, при включенном авторизаторе через сканер пробиваешь mac адре и ип, меняешь и юзаешь инет. Шифрация паролей. MS-CHAPv2 ещё вроде не сломали. :) Вставить ник Quote
BETEPAH Posted March 6, 2006 Posted March 6, 2006 у меня так - управляемые свитчи со static mac типа d-link 2108, в UTM5 при внесении юзера вписываешь ip+mac, а в cron каждый час запускается биллинговая утилита, которая из базы кидает в arp связки ip+mac. работает 100%. Вставить ник Quote
NeedHelp! Posted March 7, 2006 Author Posted March 7, 2006 у меня так - управляемые свитчи со static mac типа d-link 2108, в UTM5 при внесении юзера вписываешь ip+mac, а в cron каждый час запускается биллинговая утилита, которая из базы кидает в arp связки ip+mac. работает 100%. Как я понимаю у тебя управляемые свитчи стоят повсеместно - это нам не подходит (не будем же мы все свитчи менять на профессиональные, а старые выбрасывать на помойку) Есть ли резон ставить оборудование по сегментам? Вставить ник Quote
Barsick Posted March 7, 2006 Posted March 7, 2006 не будем же мы все свитчи менять на профессиональные, а старые выбрасывать на помойку Будете :) Есть ли резон ставить оборудование по сегментам? Есть, но внутри сегментов будет тот-же колхоз Вставить ник Quote
Diesel Posted March 7, 2006 Posted March 7, 2006 d-link 2108 - поделка на год, максимум 2, потом ломается в полевых условиях. проверено. так что тредстартеру выход один - использовать туннели. без вариантов. Вставить ник Quote
voovius Posted March 15, 2006 Posted March 15, 2006 Непонял что за "PPPoE" прошу просвятить. google Билинг стоит UTM-5, при включенном авторизаторе через сканер пробиваешь mac адре и ип, меняешь и юзаешь инет. Шифрация паролей. MS-CHAPv2 ещё вроде не сломали. :) Сломали. Резюме такое: для безопасности PPTP+MSCHAP V2 применять не рекомендуется. Для хоть какой-то безопасности MSCHAP V2 пароли - не менее 8 символов и не менее 3-х классов символов (буквы+цифры+спецсимволы). Тогда задача сильно осложнится. В тестовой лаборатории потребовалось 4 часа для отлова паролей всех пользователей в локальной сети. MS-CHAP V2. Вставить ник Quote
olebedev Posted March 15, 2006 Posted March 15, 2006 Возможен еще один вариант, ставите в голову коммутатор, который умеет MAC-based 802.1х, а еще лучше чтобы он умел и MAC-based 802.1x и авторизацию по HTTP на этом же порту (реклама 3Com или HP :-)). Вставить ник Quote
boykov Posted March 21, 2006 Posted March 21, 2006 d-link 2108 - поделка на год, максимум 2, потом ломается в полевых условиях.проверено. так что тредстартеру выход один - использовать туннели. без вариантов. Каким способом? Если я на нем делаю привязку port-mac, то как его поломать? Соседа же не выцепишь? Конечно, у него есть ресёт, то это никого не спасет толком то. Вставить ник Quote
BETEPAH Posted March 21, 2006 Posted March 21, 2006 наверное имелось ввиду, что электролиты сохнут Вставить ник Quote
Diesel Posted March 24, 2006 Posted March 24, 2006 >>наверное имелось ввиду, что электролиты сохнут Совершенно верно. Вы потрогайте, как он греется под нагрузкой. В закрытой коробке летом - эффект вполне предсказуем. Вставить ник Quote
Programmer Posted March 24, 2006 Posted March 24, 2006 Предлагаю свой рабочий вариант: VPN с доменной авторизацией. скрипт из одной строки прописывается в автозапуск, логин и пароль берутся из контроллера домена. Можно настроить так, что пользователь даже не узнает, что у него VPN стоит. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.