Valery12
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Ну скажем нельзя подделывать пакеты? допустим нельзя тегировать свой канал и попасть тегированный VLAN ? банально, но все же. | завидное упорство не знаю какой свич у goletsa - напишу как на cisco, причем опять уточню ПРАВИЛЬНО НАСТРОЕННОЙ если я настроил порт как access - тегированный трафик он не принимает, а нетегированный снабжает тегами того вилана который на нем настроен - вывод, с такого порта куда не положено не попадешь если порт настроен как транк, тут конечно сложнее, но - физический доступ к коммутатору должен быть ограничен, скажем у меня на этажах они в шкафах запертых на ключ, а розетки СКС могут быть подключены только к портам доступа и ни в коем случае не к транкам. Ну пусть злодей нашел в коробе транковый кабель, разрезал его, обжал и подключился, тогда: 1. мониторинг, я сразу получу аларм что с транком проблема (с одной строны он активен а с другой в дауне) 2. если трафик не тегированный он попадет в нативный вилан, а поскольку коммутаторы у меня настроены то ни одного акцеес порта с вилан 1 на них нет, так же как и нет и управляющих интерфейсов - вывод никуда этот злодей не попадет 3. если трафик тегированный, во первых, нужно еше узнать номера допустимых виланов, а во вторых как я уже писал на коммутаторах ядра, которые в серверной стоит фильтр и не пропустит важные служебные виланы с этого транка - вывод единственная прореха в безопасности если скажем у вас каждый отдел в своем вилане то сотрудник одного отдела путем таких диких ухищрений может попасть в сегмент соседнего отдела. Но и для защиты от этого существуют свои технологии. | Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 21:28 15-11-2010 | Исправлено: Valery12, 21:40 15-11-2010 |
|