Перейти к содержимому
Калькуляторы

Безопасная сеть.

Долго думал.

 

Почти все готово, но остались вопросы.

По порядку.

На стороне клиента.

port-security - 5 mac на порт, "stiky" на 3 дня.

acl - по IP

strom control - 9000 пакетов в секунду.

порт - 100Mbit

policy - FTP (внутренний) - после 5Mbit приоритет на минимум, лимита скорости нет.

все остальное - 10Mbit, дале DROP

все порты на port protected (anti arp spoof)

на порту где рутер - sticky mac на неделю, ~ 10 MAC всего.

Порты клиента - dhcp snooping, lease time - 10 минут

т.е. нет привязки к MAC, есть к порту. Если MAC меняет - через 10 минут все работает.

Все IP - внешние, пулы по 32 IP.

Каждый пул - в своем VLAN.

На входе в swith запрет портов 135-139,445.

 

Вопрос следующий. Денег на Catalyst 4000 Нет ;)

Кто имел опыт настройки proxy-arp и switchingа между IP одного субнета на рутере?

 

К каким атакам эта схема не имунна ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.