Valery12
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| Ну скажем нельзя подделывать пакеты? допустим нельзя тегировать свой канал и попасть тегированный VLAN ? банально, но все же. |
завидное упорство 
не знаю какой свич у goletsa - напишу как на cisco, причем опять уточню ПРАВИЛЬНО НАСТРОЕННОЙ
если я настроил порт как access - тегированный трафик он не принимает, а нетегированный снабжает тегами того вилана который на нем настроен - вывод, с такого порта куда не положено не попадешь
если порт настроен как транк, тут конечно сложнее, но
- физический доступ к коммутатору должен быть ограничен, скажем у меня на этажах они в шкафах запертых на ключ, а розетки СКС могут быть подключены только к портам доступа и ни в коем случае не к транкам. Ну пусть злодей нашел в коробе транковый кабель, разрезал его, обжал и подключился, тогда:
1. мониторинг, я сразу получу аларм что с транком проблема (с одной строны он активен а с другой в дауне)
2. если трафик не тегированный он попадет в нативный вилан, а поскольку коммутаторы у меня настроены то ни одного акцеес порта с вилан 1 на них нет, так же как и нет и управляющих интерфейсов - вывод никуда этот злодей не попадет
3. если трафик тегированный, во первых, нужно еше узнать номера допустимых виланов, а во вторых как я уже писал на коммутаторах ядра, которые в серверной стоит фильтр и не пропустит важные служебные виланы с этого транка - вывод единственная прореха в безопасности если скажем у вас каждый отдел в своем вилане то сотрудник одного отдела путем таких диких ухищрений может попасть в сегмент соседнего отдела. Но и для защиты от этого существуют свои технологии. |
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 21:28 15-11-2010 | Исправлено: Valery12, 21:40 15-11-2010 |
|
