К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Фильтрация по mac-адресу

Гость
0 - 04.09.2015 - 17:16
Подскажите, локальная сеть порядка 300 ПК, возник вопрос о повышении безопасности. Имеет ли смысл, как один из моментов, реализация фильтрации по mac-адресу на управляемых коммутаторах? То есть доступ в сеть только устройств и ПК с маком из белого списка, забитого на коммутаторах или от этого всего больше геморроя, чем реальной пользы?


Модератор
1 - 04.09.2015 - 17:45
поставь сервер и веди список маков на нем
Гость
2 - 04.09.2015 - 18:09
У циски есть такая штука - называется "port security". Реализует даже больше: привязывает мак адрес к конкретному порту на коммутаторе.
У меня есть опыт работы с ней в довольно крупной компании (порядка 3000 хостов). В принципе - никаких проблем.
Но нужно осознавать, что это не значительно повышает безопасность (подделать мак адрес легко), просто создает злыдню дополнительные проблемы.
Гость
3 - 04.09.2015 - 23:17
Посмотрите в сторону 802.1x
Гость
4 - 04.09.2015 - 23:24
нужен правда на каждого клиента порт без всяких неуправляемых свитчехабов , иначе смысл пропадает , у порт секьюрити проблема в том что мак сменить легко , можно легко подсунуть железяку-роутер сменить мак и занатить хоть 100 компов
Гость
5 - 05.09.2015 - 01:58
а вот 802.1x показалось мне слишком сложным(в смысле - больше создаст проблем, чем решит их).
Мак, конечно, сменить легко (особенно учитывая то, что можно сначала "послушать" клиента и узнать его мак, а потом лезть в сеть), но port security усложняют атаку, практически не создавая проблем для админа, тогда как 802.1x прямо требует отдельно созданной инфраструктуры и специально(и не тривиально) обученного человека.
Модератор
6 - 06.09.2015 - 01:41
Эта функция не только у циски что вы таки наговариваете
автору надо:
адрес биндинс
соурс гвард
порт секурити
+ дхцп сервер где указан конкретный мак (при наличии дхцп локал релей на макутаторах можно привязать к конкретной железке и конкретному порту на коммутаторе, без прописывания на самом макутаторе)
7 - 06.09.2015 - 16:01
Интернет Контроль Сервер. Но это если контора не нищебродская или жмотистая.
Модератор
8 - 06.09.2015 - 21:57
Это ты про себя что ле?
9 - 06.09.2015 - 22:47
8-SERGIUSF >у нас кагбэ оно есть)
Гость
10 - 07.09.2015 - 08:56
для примера:
1.решил как-то замутить такую тему в сети из 900 пк. руководство сказало круто-давай. через неделю системотехники, а через пару недель и пользователи, начали плакать - работать трудно, всё блокируется, ноутбук домашний не принесёшь, ай-ай и т.д. руководство сказало - что ты наделал!!! давай убирай.
----
уволился через некоторое время. перешёл в другую кантору
----
2.была сделана таже тема в более крупной сети и более распределённой. пользователи восприняли адекватно, руководство поддержало, системотехники поплакали и заткнулись (не без помощи поддержки со стороны руководства).

отсюда вывод. когда нефик делать, то надо уподобиться коту :)
Гость
11 - 07.09.2015 - 10:00
2SERGIUSF
А кто говорил, что это только на циске?
Гость
12 - 08.09.2015 - 21:48
Добрых дел мастер, ты прям как Портос, да?
Гость
13 - 08.09.2015 - 23:06
Цитата:
Сообщение от krotov Посмотреть сообщение
Добрых дел мастер, ты прям как Портос, да?
я, конечно, не откажусь от бургундского, но я думаю причина сравнения меня с Портосом в другом. Можно подробности?
Гость
14 - 09.09.2015 - 08:05
опять?
нет чтобы привести кусок конфига с циски, длинка, кутэка.
Гость
15 - 09.09.2015 - 11:08
Цитата:
Сообщение от naib Посмотреть сообщение
опять? нет чтобы привести кусок конфига с циски, длинка, кутэка.
а вас что, в гугле забанили?
Ладно бы обсуждали что-то сложное, тюнили или траблшутили что-то, но банально включить портсисюрити - скукота.
Гость
16 - 09.09.2015 - 11:24
15-Добрых дел мастер > конечно скукота, если банально. а если включить голову, то банальный портсекурити, может стать очень удобным инструментом.
Гость
17 - 09.09.2015 - 12:19
как я уже писал, я им пользовался на довольно большой сети. Но даже при этом в конфигурации не было ничего сложного (и что не было бы написано в первой же статье по запросу в гугле "как настроить портсисюрити")
Модератор
18 - 09.09.2015 - 14:54
9-Disobedient > Прописал на макутаторах мак адреса рабочих станций как нищеброд?
Гость
19 - 09.09.2015 - 16:43
ну так и траблшутить можно через гугл. тем более уж тюнить. надо вообще спросить у администратора (кхм) зачем эта ветка на форуме???


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены