| 0
- 04.09.2015 - 17:16
|
Подскажите, локальная сеть порядка 300 ПК, возник вопрос о повышении безопасности. Имеет ли смысл, как один из моментов, реализация фильтрации по mac-адресу на управляемых коммутаторах? То есть доступ в сеть только устройств и ПК с маком из белого списка, забитого на коммутаторах или от этого всего больше геморроя, чем реальной пользы?
    | | |
| Модератор 1
- 04.09.2015 - 17:45
| поставь сервер и веди список маков на нем | | |
| 2
- 04.09.2015 - 18:09
|
У циски есть такая штука - называется "port security". Реализует даже больше: привязывает мак адрес к конкретному порту на коммутаторе. У меня есть опыт работы с ней в довольно крупной компании (порядка 3000 хостов). В принципе - никаких проблем. Но нужно осознавать, что это не значительно повышает безопасность (подделать мак адрес легко), просто создает злыдню дополнительные проблемы. | | |
| 3
- 04.09.2015 - 23:17
| Посмотрите в сторону 802.1x | | |
| 4
- 04.09.2015 - 23:24
| нужен правда на каждого клиента порт без всяких неуправляемых свитчехабов , иначе смысл пропадает , у порт секьюрити проблема в том что мак сменить легко , можно легко подсунуть железяку-роутер сменить мак и занатить хоть 100 компов | | |
| 5
- 05.09.2015 - 01:58
|
а вот 802.1x показалось мне слишком сложным(в смысле - больше создаст проблем, чем решит их). Мак, конечно, сменить легко (особенно учитывая то, что можно сначала "послушать" клиента и узнать его мак, а потом лезть в сеть), но port security усложняют атаку, практически не создавая проблем для админа, тогда как 802.1x прямо требует отдельно созданной инфраструктуры и специально(и не тривиально) обученного человека. | | |
| Модератор 6
- 06.09.2015 - 01:41
|
Эта функция не только у циски что вы таки наговариваете автору надо: адрес биндинс соурс гвард порт секурити + дхцп сервер где указан конкретный мак (при наличии дхцп локал релей на макутаторах можно привязать к конкретной железке и конкретному порту на коммутаторе, без прописывания на самом макутаторе) | | |
| 7
- 06.09.2015 - 16:01
| Интернет Контроль Сервер. Но это если контора не нищебродская или жмотистая. | | |
| Модератор 8
- 06.09.2015 - 21:57
| Это ты про себя что ле? | | |
| 9
- 06.09.2015 - 22:47
| 8-SERGIUSF >у нас кагбэ оно есть) | | |
| 10
- 07.09.2015 - 08:56
|
для примера: 1.решил как-то замутить такую тему в сети из 900 пк. руководство сказало круто-давай. через неделю системотехники, а через пару недель и пользователи, начали плакать - работать трудно, всё блокируется, ноутбук домашний не принесёшь, ай-ай и т.д. руководство сказало - что ты наделал!!! давай убирай. ---- уволился через некоторое время. перешёл в другую кантору ---- 2.была сделана таже тема в более крупной сети и более распределённой. пользователи восприняли адекватно, руководство поддержало, системотехники поплакали и заткнулись (не без помощи поддержки со стороны руководства). отсюда вывод. когда нефик делать, то надо уподобиться коту :) | | |
| 11
- 07.09.2015 - 10:00
|
2SERGIUSF А кто говорил, что это только на циске? | | |
| 12
- 08.09.2015 - 21:48
| Добрых дел мастер, ты прям как Портос, да? | | |
| 13
- 08.09.2015 - 23:06
| Цитата:
| | |
| 14
- 09.09.2015 - 08:05
|
опять? нет чтобы привести кусок конфига с циски, длинка, кутэка. | | |
| 15
- 09.09.2015 - 11:08
| Цитата:
Ладно бы обсуждали что-то сложное, тюнили или траблшутили что-то, но банально включить портсисюрити - скукота. | | |
| 16
- 09.09.2015 - 11:24
| 15-Добрых дел мастер > конечно скукота, если банально. а если включить голову, то банальный портсекурити, может стать очень удобным инструментом. | | |
| 17
- 09.09.2015 - 12:19
| как я уже писал, я им пользовался на довольно большой сети. Но даже при этом в конфигурации не было ничего сложного (и что не было бы написано в первой же статье по запросу в гугле "как настроить портсисюрити") | | |
| Модератор 18
- 09.09.2015 - 14:54
| 9-Disobedient > Прописал на макутаторах мак адреса рабочих станций как нищеброд? | | |
| 19
- 09.09.2015 - 16:43
| ну так и траблшутить можно через гугл. тем более уж тюнить. надо вообще спросить у администратора (кхм) зачем эта ветка на форуме??? | |
Интернет-форум Краснодарского края и Краснодара |
