Jump to content

Безопасная сеть.

Roman Ivanov
 Share

Recommended Posts

Roman Ivanov

Roman Ivanov

Posted
Posted

Долго думал.

 

Почти все готово, но остались вопросы.

По порядку.

На стороне клиента.

port-security - 5 mac на порт, "stiky" на 3 дня.

acl - по IP

strom control - 9000 пакетов в секунду.

порт - 100Mbit

policy - FTP (внутренний) - после 5Mbit приоритет на минимум, лимита скорости нет.

все остальное - 10Mbit, дале DROP

все порты на port protected (anti arp spoof)

на порту где рутер - sticky mac на неделю, ~ 10 MAC всего.

Порты клиента - dhcp snooping, lease time - 10 минут

т.е. нет привязки к MAC, есть к порту. Если MAC меняет - через 10 минут все работает.

Все IP - внешние, пулы по 32 IP.

Каждый пул - в своем VLAN.

На входе в swith запрет портов 135-139,445.

 

Вопрос следующий. Денег на Catalyst 4000 Нет ;)

Кто имел опыт настройки proxy-arp и switchingа между IP одного субнета на рутере?

 

К каким атакам эта схема не имунна ?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.