The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Как закрыться от всяких сниферов?, !*! ilya_f, 07-Апр-04, 14:30  [смотреть все]
Добрый всем день,

Такая ситуация. Контора подключена к Интернету следующим образом:

Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего шлюза, который тоже с реальным IP. Оставляю за скобками модели всех этих устройств, так как вопрос не по их функциональности.

Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть.

Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности.

Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата пакетов не буду застрахован, так как есть возможность подмены MAC адреса. Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать к порту конкретный MAC адрес. Я из таких устройств только Catalist знаю, это дорого.

Посоветуйте недорогой свич или другой подход к проблеме.

Спасибо,

Илья.

Ответить | Сообщить модератору
  • Как закрыться от всяких сниферов?, !*! .zZz., 14:51 , 07-Апр-04 (1)
    >Добрый всем день,
    >
    >Такая ситуация. Контора подключена к Интернету следующим образом:
    >
    >Со стороны провайдера некий девайс, с Ethernet интерфейсом и реальным IP на
    >нем. Дальше - перекрученный Ethernet кабель вставляется во внешний интерфейс нашего
    >шлюза, который тоже с реальным IP. Оставляю за скобками модели всех
    >этих устройств, так как вопрос не по их функциональности.
    >
    >Возник такой геморрой. Нужно поделиться интернет-подключением с соседской конторой, это решение не
    >обсуждается. То есть в сегмент между провайдерским девайсом и нашим шлюзом
    >поставить свич, и в него воткнуть шнурки от провайдерского девайса, нашего
    >шлюза, и шнурок от шлюза соседской конторы. Реальные IP свободные есть.
    >
    >
    >Вопрос биллинга и QoS с провайдером решен. Остается вопрос безопасности.
    >
    >Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
    >пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
    >Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
    >к порту конкретный MAC адрес. Я из таких устройств только Catalist
    >знаю, это дорого.
    >
    >Посоветуйте недорогой свич или другой подход к проблеме.
    >
    >Спасибо,
    >
    >Илья.
    свитчи подешевле - 3com (например, SuperStackII 1100) и D-Link (например, DES-3226)
    а вообще, поможет любой свитч, поддерживающий 802.11q (vlan)
    если есть договорённость с провайдером - тока в путь...
    Либо, юних с тремя сетевыми карточками - и делай чё хочешь :)

    ЗЫ 2-е по-любому правильнее :)


    Ответить | Сообщить модератору
  • Как закрыться от всяких сниферов?, !*! Michael, 18:54 , 07-Апр-04 (5)
    >Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
    >пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
    >Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
    >к порту конкретный MAC адрес. Я из таких устройств только Catalist
    >знаю, это дорого.
    >
    >Посоветуйте недорогой свич или другой подход к проблеме.

    Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов, которые стоят не так дорого.
    например, D-Link DES-3226

    а лучше - договориться с провайдером о работе через vpn, например pptp или pppoe. тогда хоть хаб ставьте...

    Ответить | Сообщить модератору
    • Как закрыться от всяких сниферов?, !*! ilya_f, 11:25 , 08-Апр-04 (6)
      >>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
      >>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
      >>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
      >>к порту конкретный MAC адрес. Я из таких устройств только Catalist
      >>знаю, это дорого.
      >>
      >>Посоветуйте недорогой свич или другой подход к проблеме.
      >
      >Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов,
      >которые стоят не так дорого.
      >например, D-Link DES-3226
      >
      >а лучше - договориться с провайдером о работе через vpn, например pptp
      >или pppoe. тогда хоть хаб ставьте...

      Народ, я может подтормаживаю, но проясните.

      Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в одном будт порт, к которому провайдерское устройство подключено, во втором - порт, к которому подключен наш шлюз, в третьем - порт, к которому подключен шлюз соеседей.

      Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду? Или это чудо D-Link еще и на третьем уровне сетевой модели чего-то может?

      Спа,
      Илья.

      Ответить | Сообщить модератору
      • Как закрыться от всяких сниферов?, !*! Simps, 11:46 , 08-Апр-04 (7)
        >>>Насколько я понимаю, даже если я поставлю свич, я полностью от перехвата
        >>>пакетов не буду застрахован, так как есть возможность подмены MAC адреса.
        >>>Наверное полностью застраховаться я смогу, только купив свич с возможностью привязать
        >>>к порту конкретный MAC адрес. Я из таких устройств только Catalist
        >>>знаю, это дорого.
        >>>
        >>>Посоветуйте недорогой свич или другой подход к проблеме.
        >>
        >>Насколько я понимаю, в данном случае будет достаточно свича с поддержкой VLAN-ов,
        >>которые стоят не так дорого.
        >>например, D-Link DES-3226
        >>
        >>а лучше - договориться с провайдером о работе через vpn, например pptp
        >>или pppoe. тогда хоть хаб ставьте...
        >
        >Народ, я может подтормаживаю, но проясните.
        >
        >Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
        >одном будт порт, к которому провайдерское устройство подключено, во втором -
        >порт, к которому подключен наш шлюз, в третьем - порт, к
        >которому подключен шлюз соеседей.
        >
        >Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
        >Или это чудо D-Link еще и на третьем уровне сетевой модели
        >чего-то может?
        >
        >Спа,
        >Илья.
        Нет нужен роутер, или провайдер должен будет эти vlan поднять у себя сабинтами (твой и соседей)
        Ответить | Сообщить модератору
      • Как закрыться от всяких сниферов?, !*! Michael, 13:16 , 08-Апр-04 (8)
        >Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
        >одном будт порт, к которому провайдерское устройство подключено, во втором -
        >порт, к которому подключен наш шлюз, в третьем - порт, к
        >которому подключен шлюз соеседей.
        тогда никто никого видеть не будет...
        я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и порт провайдера, а в VLAN-2 будут входить порт соседа и порт провайдера.
        причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову с VLAN-ами.

        или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить...

        к сожалению, не могу на своем свиче попробовать - нельзя его из сети выдернуть для экспериментов...

        >Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
        а зачем маршрутизировать между VLAN-ами?

        >Или это чудо D-Link еще и на третьем уровне сетевой модели
        >чего-то может?
        нет, на третьем эта модель ничего не может.

        Ответить | Сообщить модератору
        • Как закрыться от всяких сниферов?, !*! ilya_f, 18:08 , 09-Апр-04 (9)
          >>Вот если я поставлю этот D-Link DES-3226, создам VLAN'ы, три штуки, в
          >>одном будт порт, к которому провайдерское устройство подключено, во втором -
          >>порт, к которому подключен наш шлюз, в третьем - порт, к
          >>которому подключен шлюз соеседей.
          >тогда никто никого видеть не будет...
          >я имел ввиду конфигурацию, когда в VLAN-1 будут входить твой порт и
          >порт провайдера, а в VLAN-2 будут входить порт соседа и порт
          >провайдера.
          >причем порт провайдера выставить как untagged, чтобы провайдеру не пришлось морочить голову
          >с VLAN-ами.
          >
          >или, как вариант, на том-же свиче можно MAC-фильтрацию по портам настроить...
          >
          >к сожалению, не могу на своем свиче попробовать - нельзя его из
          >сети выдернуть для экспериментов...
          >
          >>Потом, если без дополнительного роутера - как я между VLAN'ами маршрутизировать буду?
          >а зачем маршрутизировать между VLAN-ами?
          >
          >>Или это чудо D-Link еще и на третьем уровне сетевой модели
          >>чего-то может?
          >нет, на третьем эта модель ничего не может.


          Спасибо! Всем ;-)

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру