arp inspection попробуйте - потом напишите что получится
29.10.2007 09:39:06
arp inspection попробуйте - потом напишите что получится
|
|
|
|
30.10.2007 22:50:17
arp inspection судя по всему есть только у Cisco, Zyxel и Nortel.
|
|
|
|
30.12.2007 00:28:17
webster, а где вводится определение CAM атаки? Я никак не найду расшифровку аббревиатуры.
CAM атаки это что, новый Ciscoвский термин, означающий атаки на переполнение таблицы MAC адресов? Я вижу эту аббревиатуру только тут: Мне кажется этого списка не хватает для полной защиты на Layer 2. А где защита от атак на STP? А защита от VLAN Hopping? В приведенной презентации Жени Линьковой еще упоминается bpduguard, аутентификация VTP, storm-control и другие вещи которые все одновременно я нигде не видел настроенными. В общем на защите layer 2 можно диссертацию написать |
|
|
|
30.12.2007 00:28:27
webster, а где вводится определение CAM атаки? Я никак не найду расшифровку аббревиатуры.
CAM атаки это что, новый Ciscoвский термин, означающий атаки на переполнение таблицы MAC адресов? Я вижу эту аббревиатуру только тут: Мне кажется этого списка не хватает для полной защиты на Layer 2. А где защита от атак на STP? А защита от VLAN Hopping? В приведенной презентации Жени Линьковой еще упоминается bpduguard, аутентификация VTP, storm-control и другие вещи которые все одновременно я нигде не видел настроенными. В общем на защите layer 2 можно диссертацию написать |
|
|
|
30.12.2007 00:37:21
Уфф. Нарыл расшифровку: нашел английскую презентацию - там написано, что СAM это Content Addressable Memory.
Получается, что правильный перевод не "CAM атаки", а "атаки на CAM" |
|
|
|
12.01.2008 12:10:25
Shanker, Евгения это она А презентацию лучше смотреть английскую, поскольку при переводе всегда что-нибудь теряется. В google ее легко найти.
|
|
|
|
20.06.2008 13:33:03
И в заключение хотелось бы услышать практические шаги для настройки свитчей 8) Безопасность на канальном уровне.
Из всего прочитанного я понял, что: 1. Необходимо включить port security. Необходимо для предотвращения атак САМ и атак на истощение DHCP.Установить статические записи MAC на портах, где не планируется какое-либо перемещение. 3. Использовать аутентификацию на порту коммутатора. Использовать протокол 802.1х. 3. Использовать информацию из таблицы связи отслеживания DHCP. Настроить DHCP Snooping. 4. Используя п. 3 осуществлять динамическую проверку ARP - все пакеты ARP должны соответствовать записям в таблице IP/MAC. 5. Настройка на проверку коммутатором поле запроса CHADDR, уточняя его соответствие аппаратному MAC в связывающей таблице полного отслеживания DHCP. 6. Настроить IP Source Guard, который используя таблицу отслеживания DHCP защищает от подделки IP/MAC. Активировать проверку IP и MAC отдельно либо вместе. все ли эти настройки осуществляются именно на коммутаторе?
Изменено: Rokot - 20.06.2008 13:37:28
|
|
|
|
23.06.2008 09:10:55
на фаерах решается командой ip verify reverse path "intname"
|
|
|
|
29.06.2008 14:01:32
1. Необходимость поддержания статической таблицы в актуальном со-стоянии, учитывая появление новых компьютеров в подсетях, возможное изменение их адресов. 2. При переносе сетевого устройства (станции) из одной подсети в другую придётся создавать новую arp-таблицу. Для программ мониторинга с arp-watch: 1. Необходимость поддержания arp- таблицы программы в актуальном состоянии, учитывая появление новых компьютеров в подсетях, воз-можное изменение их адресов. 2. Необходимость зеркалирования всего трафика на компьютер с arpwatch, что снижает производительность сетевого оборудования. 3. В каждом широковещательном домене нужен свой компьютер с arpwatch.
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|||||||
|
|
03.07.2008 15:22:44
Народ, где производятся вышеупомянутые настройки? Непосредственно на свитчах? Какие свитчи обладают такими настройками, если это так?
|
|
|
|
02.08.2008 13:41:21
Rokot, практически все _управляемые_ свитчи обладают таким настройками
|
|
|
|
01.09.2008 18:18:28
с 2940 все останавливается на пункте 3. (который про 802.1x) так как DHCP snooping и DAI на 2900 вобще нет и не планируется. ЗЫ. Да на свичах. 3500 и выше, тоесть тех которые L3. Технология основана на том, что IP раздаются с помощью DHCP и свитч эту раздачу отслеживает.
Изменено: grub - 01.09.2008 18:24:25
|
||||
|
|
|||