- Как закрыться от всяких сниферов?, .zZz., 14:51 , 07-Апр-04 (1)
>Добрый всем день, > >Такая ситуация. Контора подключена к Интернету следующим образом: > >Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на >нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего >шлюза, который тоже с реальным IP. Оставляю за скобками модели всех >этих устройств, так как вопрос не по их функциональности. > >Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не >обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом >поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего >шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть. > > >Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности. > >Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата >пакетов не буду застрахован, так как есть возможность подмены MAC адреса. >Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать >к порту конкретный MAC адрес. Я из таких устройств только Catalist >знаю, это дорого. > >Посоветуйте недорогой свич или другой подход к проблеме. > >Спасибо, > >Илья. свитчи подешевле - 3com (например, SuperStackII 1100) и D-Link (например, DES-3226) а вообще, поможет любой свитч, поддерживающий 802.11q (vlan) если есть договорённость с провайдером - тока в путь... Либо, юних с тремя сетевыми карточками - и делай чё хочешь :)ЗЫ 2-е по-любому правильнее :)
- Как закрыться от всяких сниферов?, .zZz., 14:53 , 07-Апр-04 (2)
кстати, есть ещё такие вещи как sniffing in the switching enveropment - так что ставь лучше роутер, ей богу! :)
- Как закрыться от всяких сниферов?, ilya_f, 15:04 , 07-Апр-04 (3)
>кстати, есть ещё такие вещи как sniffing in the switching enveropment - >так что ставь лучше роутер, ей богу! :) Вобщем переносим решение пролемы на Network layer и не мудрим, правильно?
- Как закрыться от всяких сниферов?, .zZz., 16:46 , 07-Апр-04 (4)
>>кстати, есть ещё такие вещи как sniffing in the switching enveropment - >>так что ставь лучше роутер, ей богу! :) > > >Вобщем переносим решение пролемы на Network layer и не мудрим, правильно? аминь
- Как закрыться от всяких сниферов?, Michael, 18:54 , 07-Апр-04 (5)
>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата >пакетов не буду застрахован, так как есть возможность подмены MAC адреса. >Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать >к порту конкретный MAC адрес. Я из таких устройств только Catalist >знаю, это дорого. > >Посоветуйте недорогой свич или другой подход к проблеме. Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, которые стоят не так дорого. например, D-Link DES-3226 а лучше - договориться с провайдером о работе через vpn, например pptp или pppoe. тогда хоть хаб ставьте...
- Как закрыться от всяких сниферов?, ilya_f, 11:25 , 08-Апр-04 (6)
>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата >>пакетов не буду застрахован, так как есть возможность подмены MAC адреса. >>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать >>к порту конкретный MAC адрес. Я из таких устройств только Catalist >>знаю, это дорого. >> >>Посоветуйте недорогой свич или другой подход к проблеме. > >Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, >которые стоят не так дорого. >например, D-Link DES-3226 > >а лучше - договориться с провайдером о работе через vpn, например pptp >или pppoe. тогда хоть хаб ставьте... Народ, я может подтормаживаю, но проясните. Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в одном будт порт, к которому провайдерское устройство подключено, во втором - порт, к которому подключен наш шлюз, в третьем - порт, к которому подключен шлюз соеседей. Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? Или это чудо D-Link еще и на третьем уровне сетевой модели чего-то может? Спа, Илья.
- Как закрыться от всяких сниферов?, Simps, 11:46 , 08-Апр-04 (7)
>>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата >>>пакетов не буду застрахован, так как есть возможность подмены MAC адреса. >>>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать >>>к порту конкретный MAC адрес. Я из таких устройств только Catalist >>>знаю, это дорого. >>> >>>Посоветуйте недорогой свич или другой подход к проблеме. >> >>Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, >>которые стоят не так дорого. >>например, D-Link DES-3226 >> >>а лучше - договориться с провайдером о работе через vpn, например pptp >>или pppoe. тогда хоть хаб ставьте... > >Народ, я может подтормаживаю, но проясните. > >Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в >одном будт порт, к которому провайдерское устройство подключено, во втором - >порт, к которому подключен наш шлюз, в третьем - порт, к >которому подключен шлюз соеседей. > >Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? >Или это чудо D-Link еще и на третьем уровне сетевой модели >чего-то может? > >Спа, >Илья. Нет нужен роутер, или провайдер должен будет эти vlan поднять у себя сабинтами (твой и соседей)
- Как закрыться от всяких сниферов?, Michael, 13:16 , 08-Апр-04 (8)
>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в >одном будт порт, к которому провайдерское устройство подключено, во втором - >порт, к которому подключен наш шлюз, в третьем - порт, к >которому подключен шлюз соеседей. тогда никто никого видеть не будет... я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и порт провайдера, а в VLAN-2 будут входить порт соседа и порт провайдера. причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову с VLAN-ами.или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить... к сожалению, не могу на своем свиче попробовать - нельзя его из сети выдернуть для экспериментов... >Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? а зачем маршрутизировать между VLAN-ами? >Или это чудо D-Link еще и на третьем уровне сетевой модели >чего-то может? нет, на третьем эта модель ничего не может.
- Как закрыться от всяких сниферов?, ilya_f, 18:08 , 09-Апр-04 (9)
>>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в >>одном будт порт, к которому провайдерское устройство подключено, во втором - >>порт, к которому подключен наш шлюз, в третьем - порт, к >>которому подключен шлюз соеседей. >тогда никто никого видеть не будет... >я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и >порт провайдера, а в VLAN-2 будут входить порт соседа и порт >провайдера. >причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову >с VLAN-ами. > >или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить... > >к сожалению, не могу на своем свиче попробовать - нельзя его из >сети выдернуть для экспериментов... > >>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? >а зачем маршрутизировать между VLAN-ами? > >>Или это чудо D-Link еще и на третьем уровне сетевой модели >>чего-то может? >нет, на третьем эта модель ничего не может. Спасибо! Всем ;-)
- Как закрыться от всяких сниферов?, jonik, 17:43 , 21-Апр-04 (10)
перестаньте париться воткни в тачку еще одну сетевую и в нее хаб второй конторы
- Как закрыться от всяких сниферов?, Michael, 18:08 , 21-Апр-04 (11)
>перестаньте париться >воткни в тачку еще одну сетевую и в нее хаб второй конторы и тут же сисадмин этой конторы напишет сюда "Как закрыться от всяких сниферов-2" :)))
- Как закрыться от всяких сниферов?, Nikolaev D., 22:48 , 25-Апр-04 (12)
>>перестаньте париться >>воткни в тачку еще одну сетевую и в нее хаб второй конторы > >и тут же сисадмин этой конторы напишет сюда "Как закрыться от всяких >сниферов-2" :))) посему надо пинать провайдера, что бы он соседней конторе выделил порт с ПРОВАЙДЕРСКОМ девайсе.
|