1. Наричие эксплойтов смотрите на www.packetstormsecurity.org. У Cisco в этом и прошлом году нашли нереальное количество уязвимостей. Checkpoint уже давно развивается, поэтому у него уже давно выявили проблемы. Появление новых проблем не гарантируется ни у того ни у другого.
2. Удобство настройки и администрирования (дружественность интерфейса) однозначно у Checkpoint Firewall-1
3. Функциональность. Ну например узнайте для каких протоколов поддерживается statefull inspection в обоих FW - неплохое будет сравнение. Хотя обычно вопрос про эту характеристику FW выводит из строя всех системных инженеров компаний производителей.
4. И какая технология экранирования надежнее в принципе: CheckPoint Firewall-1 "Statefull inspection" или цысковский ASA? В обоих есть statefull inspection, вопрос для каких протоколов. Он может быть для TCP, для FTP, для протоколов семейства VoIP и т.д.

arp inspection судя по всему есть только у Cisco, Zyxel и Nortel.

у меня такое ощущение что Cisco - единственная компания, которая хоть как-то пытается решить проблемы на layer 2. за arp inspection спасибо.

я предложу дорогое решение
Proventia Network Anomaly Detection System. В нем есть правила, реагирующие на трафик игровой. Кроме того вы решите и много других задач, связанных с безопасностью.

а зачем тебе? мы тебя и так знаем

Интересно, есть в России люди знающие это все?

Знание российских и международных стандартов по обеспечению информационной безопасности (Руководящие документы ФСТЭК‚ ФЗ‚ ISO/IEC 27001, 17799, 13335, 15408, 13569, 18044, PAS 56, COBIT, OCTAV‚ Стандарт обеспечения ИБ для организаций банковской системы 2006 года (СТО БР ИББС-1.0-2006, СТО БР ИББС-1.1-2007, СТО БР ИББС-1.2-2007, СТО БР ИББС-2.1-2007);

интересная ветка. Stella похоже всех пленила своим аватаром. У меня всегда вызывали уважение девушки, занимающиеся программированием и ИБ.

а я пожалуй по теме отвечу: спецы по ИБ водятся на конференциях, например, Infosecurity было недавно - я там видел всех до одного. Или кто-то не ходил?

Acid, че-то не так со ссылкой. проверь. Или это шутка?

Просто эпидемия какая-то. Народ не качает обновления для Windows и соотвественно просто посещая сайты попадает на ANI эксплойт и привет - получает в подарок трояна. Антивирусы не справляются. Последний раз удялял код, который не смог определить ни Symantec ни Касперский. Только уже из интереса обнаружил что его видит Pandа.

SotM, да, тяжело тебе. Даже если разрешить запись только на фиксированные флешки в сети B, и запретить вынос этих флешек из здания, то все равно нет гарантии что саму флешку не перепишут находясь в здании на другую флешку.
Тут похоже нужно думать что-то на базе криптографии. Посмотри что предлагает Алладин, например. А ты смотрел на вариант, которые тебе уже предложили ("DriveCrypt с двумя Е-токен ключами")?

Shanker, издеваешься столько вопросов в одном посте

Вообще маршрутизатор мешает ARP спуфингу между разными сегментами, поскольку он меняет MAC адреса пакетов на адреса своих интерфейсов. Есть правда такая штука как arp-proxy, но это отдельная тема. В случае с маршрутизатором уже можно начать разговор об IP спуфинге.

Кроме port-security ничего нет. Остальные технологии типа 802.1x или VLAN и PVLAN не от этого.

Не совсем понял вопрос про то как связан IP-MAC binding и блокирование пакетов. Операционка может их только игнорировать.

Действительно свитч работает в режиме хаба при
- своем включении, поскольку еще не знает на каком интерфейсе висит какой MAC
- переполнении таблицы MAC адресов. переполнение делается посылкой кучи запросов с поддельными MAC адресами.

1. Команда arp -s на ОС Windows 2000 не дает возможность зафиксировать соответсвие MAC-IP. Как только пройдет ложный ARP ответ, то система перепишет это "статическое" (казалось бы) соответсвие. Статичность записи стала поддерживаться только в Windows XP и Windows 2003.

2. Чтобы реализовать атаку ARP спуфинг, атакующий пошлет один или несколько ложных ARP ответов на жертву, в которых скажет что IP адрес маршрутизатора по умолчанию соотвествует MAC адресу атакующего. Так, например, работает программа Cain&Abel. В результате жертва переписывает у себя таблицу соответсвия IP и MAC адреса и шлет пакеты не маршрутизатору а атакующему. Так выполняется атака человек посередине в среде где есть свитчи.
Поскольку port-security не дает возможности атакующему использовать ложный MAC адрес, то он будет использовать свой. Поскольку у жертвы прописан этот MAC адрес после атаки, то мы можем всегда посмотреть на какой розетке висит этот MAC адрес и найти атакующего. Мы говорим о свитчах. При чем тут маршрутизатор?

port-security не защищает от ARP спуфинга, НО он помогает найти того человека, который спуфит!
почему? потому что port-security не дает ему заюзать больше одного MAC адреса.

Алгоритм:
Вы говорите: "на этой розетке в стене должен быть только один MAC адрес".
Человек садится с ноутом, подключается к розетке - получает доступ.
Он пытается заспуфить IP адрес маршрутизатора на поддельный MAC - не получается.
Он пытается заспуфить IP адрес маршрутизатора на свой MAC - получается,
Но тут приходим мы, говорим
show mac-address-table
Там мы видим на какой розетке висит MAC адрес этого человека и приходим к этой розетке и находим этого человека и говорим ему "нехорошо заниматься ARP спуфингом".

Вообще если вы статически прописали на компьютере MAC адрес маршрутизатора командой
arp -s
то заспуфить лично Вас нет никакой возможности, только если у вас не операционная система, которая не поддерживает статические записи (например Windows 2000 не поддерживает)

В программе DeviceLock есть такая функция "Установить доступ "только чтение" для сменных носителей, жестких дисков и CD-ROM'ов". Возможно это то что вы ищете.
А объединять сети не надо. Нахватаете еще троянов в сеть B из Интернета.

Есть такая программка, называется WinPatrol (http://www.winpatrol.com/).
Одна из ее функций в том, что она детектирует новые сервисы и всё новое что появляется в автозагрузке. Достаточно простая функция, но она позволяет детектировать свежеустановленного трояна. Поставьте такую.

возможно он действительно сбил милиционера. иначе история нереальная.

стандартная ошибка: просите защиту, но не говорите от чего?
- он вирусов
- от спама
- от атак разных типов, включая DDoS..
- от взлома веб серверов
вообще учитывая что целых три компа защищать надо, то включите NAT на прокси и поставьте антивирус для прокси сервера, чтобы не скачивать всякую гадость из Интернета.
как защищать оба http сервера от взлома - долгий разговор.

ну например возьми Commview, там есть генератор пакетов. отлови один ARP пакет, и на его основе сгенерируй новый - поставив только нужные поля.

никак

1. ну вообще подход один: настроить IDS так, чтобы ложных срабатываний не было. Для этого нужно:
выключить ненужные сигнатуры
оттюнинговать нужные сигнатуры
ВСЕ сигнатуры включать не нужно.
2. alertы нужно хранить, если планируется "разбор полетов", alertы нужно чистить только для того чтобы диск не переполнялся - а так хоть алерты за всю жизнь храни. Если алерты не хранить, тогда непонятно зачем вам вообще IDS.

Могу представить Вас просматривающим сто тысяч сообщений в день в течение хотя бы месяца.
IPS надо ставить нормальную, а вы похоже Snort установили.