При отключении "Службы удаленного доступа к реестру" не работает "Маршрутизация и удаленный доступ"!!! Доказано опытным путем.
Будьте осторожнее!!!

Денис

ARP poison позволяет злоумышленнику сделать себя маршрутизатором по умолчанию. Я предлагаю назначить порт на котором стоит маршрутизатор по умолчанию и сделать запись permanent в mac-address-table в Catalist таким образом чтобы никто не мог сказать на другом порту, что он теперь маршрутизатор по умолчанию. И тогда пакеты к нему с вашими паролями идти не будут. на Catalist 1900 это делается командой
mac-address-table permanent 1122.3344.5566 ethernet 0/1
если сервер с мак адресом 1122.3344.5566 висит на порте 0/1
А прописывать юзерам порты статически неудобно конечно, поскольку они чаще меняются, чем адрес сервера.
Есть еще возможность на каждом порте ограничить число источников по числу MAC адресов, но тоже надо пробовать.
команда на интерфейсе
port secure max-mac-count 1
Как считаете? Я пожалуй в понедельник попробую

PS: Точно знаю что WinXP, Win2003 и Solaris статическую запись правильно понимают.
ЗЫ: Как правильно? На порте или на порту?    Извините за offtopic. Я потом сам исправлю

BurnRam, так если ты не знаешь что сервер тебе отвечает то ты никак сервер не подменишь. А чем тебе плохо явное соединение с сервером?

тогда действительно надо пользоваться sendmail чтобы эту инфу послать себе

нашли хоть один?

а ты спросил почему именно /30 сети безопасны? Мне почему-то кажется что если твой OSPF не принимает анонсы извне, то с любой маской бояться нечего.

Вообще тема наболевшая. Многие просят составить такую бумажку, но сами не понимают что в ней должно быть.
В Интернете также сложно найти что-то похожее. Так что в данном вопросе Вам придется положиться на свои силы.
Я с удовольствием бы посмотрел хоть один положительный результат по составлению такого документа. Правда после того как его написали, есть смысл его "зажать" и никому не показывать.  

может я не понял вопроса, но вообще-то любой удаленный шел выполняет любую команду шелла на удаленном компьютере.  
например команда шелла ls - выводит директорию на экран
или другая команда шелла cd - позволяет переходить из каталога в каталог

Сам знаешь что хороший FW влияет на работу эксплойтов.
Только я че то я не пойму. Мы тут безопасностью занимаемся или хакеров учим?

Что значит не хочет? Обычно когда не хочет, то в логе есть строчка почему не хочет. Что там написано?

1. Файрволы ставить на каждый комп не надо.
2. IDS надо ставить или перед FW или после FW.
Самое сложное это каждый день смотреть в логи IDS и FW.
Вообще последний вопрос - ужасно сложный. На самом деле для обеспечения безопасности нужен квалифицированный специалист. Да где ж его взять то
А теперь сами подумайте. Вы один, а компов много. Каждый сервис пак ставить бегать уже нет необходимости - есть SUS.
Каждого Касперского обновлять тоже нет необходимости - тоже есть средство управления с одного места.
Защитить всех одновременно - тоже есть средства.
Вот и почитайте про это все.  
А какую вы знаете IDS? Назовите две.

Я бы посоветовал  
- Поставить везде свитчи и статически зафиксировать ARP.
- Закупить ключики Aladdin для всех с подходящим  для вас софтом
- Закупить корпоративную версию Касперского и поставить каждому юзеру управляемый админом антивирус
- Поставить программку котроля почты типа Дозора или Mimesweeperа
ну хватит пока.. а то все тайны раскрою

а зачем _удаленно_ узнавать на какой порт подключен кокретный комп или группа компов?
Имхо, кроме "перелопачивания таблиц коммутации" выхода нет. Зато у Вас есть шанс первым написать прогу которая будет автоматизировать этот процесс.

Уже в NT есть встроенный SNMP агент.
Я набрал в google.com слова "SNMP агент Windows" и нашел
вот например
http://onix.opennet.ru/monitoring/nagios_win_2.html
http://www.oszone.net/windows/lan/dns/15.shtml

Красиво это все смотреть - там же ищи программку, начиная от SNMPview до HP OpenView

Всего хорошего!
Денис

Тоже советую ospf. У нас работает без проблем.

напиши о результатах, пожалста  

Вообще-то CommView ставится на модем тоже. При инсталляции даже спрашивает по-русски (или на любом выбранном языке) ставить драйвер dial-up (WAN) адаптера или нет. Правда иногда глючит и валится на этом процессе. Но мы же в Windows работаем... привыкшие

Такое ощущение, что то что ты придумал называется внешняя зона, локальная сеть, демилитаризованная зона и межсетевой экран. Просто поделены эти зоны не физически будут, а виланами. Ну в принципе на одном 5000м каталисте это делается все, только не дорого ли тебе это оборудование обойдется? Я имею в виду что может сделать то же самое без VLANов?

Я сразу скажу что мне нравится XSpider. У меня такой способ: я пользуюсь XSpider наравне с Retina, LanGuard и Nessus. Всегда интересно проверить разными способами хост (мне понравилось как этот способ назвал Лукацкий: "и позвонить и зайти"). Очевидно что множества заложенных уязвимостей отличаются в разных сканерах. То что пропустил Nessus нашел XSpider, то что пропустил XSpider нашел Nessus. То что они пропустили оба появится завтра. А продукта который будет искать все возможные уязвимости я и не жду.


Cколько вообще уязвимостей заложено в XSpider? На сайте я этого не нашел. На конкретном множестве найденных всеми сканерами дырок XSpider лучший по баллам. Ну и что? На другом множестве он будет хуже. Тест на то и тест. Вы знаете что бывают ошибки первого и второго рода: когда дырку не нашли и когда нашли лишнюю. И был прав кто-то сказавший выше, что надо взять набор точно известных дырок и посмотреть какой сканер какую дырку не найдет. Вот тогда тест действительно будет "чистым". Но поскольку это практически нереализуемо, то данный тест мне представляется неплохим. Тем более, что сравнивать-то не с чем. Почти никто у нас в России не занимается поиском уязвимостей. Я помню только Лукацкого и PTSecurity. И спасибо им.

Извините за жаргон. Дырка == уязвимость.[IMG]http://www.securitylab.ru/forum/smileys/smiley10.gif[/IMG]

MS SMS в смысле MS SUS? (Software Update Center)