Jump to content
Калькуляторы

Безопасная сеть.

Долго думал.

 

Почти все готово, но остались вопросы.

По порядку.

На стороне клиента.

port-security - 5 mac на порт, "stiky" на 3 дня.

acl - по IP

strom control - 9000 пакетов в секунду.

порт - 100Mbit

policy - FTP (внутренний) - после 5Mbit приоритет на минимум, лимита скорости нет.

все остальное - 10Mbit, дале DROP

все порты на port protected (anti arp spoof)

на порту где рутер - sticky mac на неделю, ~ 10 MAC всего.

Порты клиента - dhcp snooping, lease time - 10 минут

т.е. нет привязки к MAC, есть к порту. Если MAC меняет - через 10 минут все работает.

Все IP - внешние, пулы по 32 IP.

Каждый пул - в своем VLAN.

На входе в swith запрет портов 135-139,445.

 

Вопрос следующий. Денег на Catalyst 4000 Нет ;)

Кто имел опыт настройки proxy-arp и switchingа между IP одного субнета на рутере?

 

К каким атакам эта схема не имунна ?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.