|
Название: Авторизация на порту Отправлено: elite от 11 Августа 2009, 19:39:54 На самом деле, мы постепенно отказываемся от авторизатора. В пользу чего?Название: Авторизация на порту Отправлено: Efendy от 12 Августа 2009, 15:54:52 pppoe, авторизация на порту
Название: Авторизация на порту Отправлено: elite от 12 Августа 2009, 16:24:13 pppoe, авторизация на порту а что имеется в виду под авторизацией на порту?Название: Авторизация на порту Отправлено: Efendy от 14 Августа 2009, 21:48:40 Имеется ввиду авторизация на порту, есть такая технология. Лень в гугле искать. Поддерживает винда по-дефолту, а у линукса есть программки. Позволяет авторизоваться на порту путем посылки логина/пароля на свич, после чего открывается порт. Однако же это не гарантирует безопасность на сетевом уровне. Там надо немножко покрутить и ip секурити в свичах и эту опцию чегототам о которой массы так долго говорят.
Название: Авторизация на порту Отправлено: elite от 15 Августа 2009, 08:22:34 Имеется ввиду авторизация на порту, есть такая технология. Лень в гугле искать. Поддерживает винда по-дефолту, а у линукса есть программки. Позволяет авторизоваться на порту путем посылки логина/пароля на свич, после чего открывается порт. Однако же это не гарантирует безопасность на сетевом уровне. Там надо немножко покрутить и ip секурити в свичах и эту опцию чегототам о которой массы так долго говорят. 802.1x ?а как же быть с ви-фи роутерами? :) сколько из них умеют 802.1х? Кстати, если у тебя уже есть управляемое оборудование, то так ли важна авторизация? Достаточно выдать по DHCP option 82 клиенту ip-адрес + dhcp snooping - это будет гарантировать, что на данном порту коммутатора находится конкретный ip, и изменить клиент его себе не сможет. В принципе, этого достаточно. Название: Авторизация на порту Отправлено: Efendy от 15 Августа 2009, 08:42:40 Этого недостаточно. Все что ты перечислил гарантирует правильную доставку DHCP-пакетов (запросы на сервер, левые блокировать). Остается возможность изменения как mac, так и ip. Первое решает как раз авторизация на порту, которая может происходить не только по паролю, но и по маку. Бонусом получаем то, что авторизация идет по RADIUS. Блокировка смены ip - это только Ip security, подвязанная к option 82. Такое есть в некоторых свичах. Заявлено в спецификации по крайней мере
Название: Re: Авторизация на порту Отправлено: elite от 15 Августа 2009, 11:16:47 Блокировка смены ip - это только Ip security, подвязанная к option 82. Такое есть в некоторых свичах. Заявлено в спецификации по крайней мере Это и называется dhcp snooping )Вернее немножко не так: Цитировать DHCP snooping регулирует только сообщения DHCP и не может повлиять напрямую на трафик пользователей или другие протоколы. Некоторые функции коммутаторов, не имеющие непосредственного отношения к DHCP, могут выполнять проверки на основании таблицы привязок DHCP snooping (DHCP snooping binding database). В их числе: это имелось в видуDynamic ARP Protection (Inspection) — проверка ARP-пакетов, направленная на борьбу с ARP-spoofing, IP Source Guard — выполняет проверку IP-адреса отправителя в IP-пакетах, предназначенная для борьбы с IP-spoofingом. Название: Re: Авторизация на порту Отправлено: Efendy от 15 Августа 2009, 11:25:18 Ты написал, что я написал не так, но в итоге написал, что я написал так))
про IP Source Guard и говрил. Если в свиче это есть - схема может считаться безопасной, иначе - толку от нее ноль Название: Re: Авторизация на порту Отправлено: elite от 15 Августа 2009, 14:20:38 Ты написал, что я написал не так, но в итоге написал, что я написал так)) Ну мы друг друга поняли ;Dа без ip source guard применять option 82 не вижу смысла имхо к такой схеме и надо стремиться, а всякие 802.1х - от лукавого )) |