Авторизация на порту

[elite]

На самом деле, мы постепенно отказываемся от авторизатора.

В пользу чего?

[Efendy]

pppoe, авторизация на порту

[elite]

pppoe, авторизация на порту

а что имеется в виду под авторизацией на порту?

[Efendy]

Имеется ввиду авторизация на порту, есть такая технология. Лень в гугле искать. Поддерживает винда по-дефолту, а у линукса есть программки. Позволяет авторизоваться на порту путем посылки логина/пароля на свич, после чего открывается порт. Однако же это не гарантирует безопасность на сетевом уровне. Там надо немножко покрутить и ip секурити в свичах и эту опцию чегототам о которой массы так долго говорят.

[elite]

Имеется ввиду авторизация на порту, есть такая технология. Лень в гугле искать. Поддерживает винда по-дефолту, а у линукса есть программки. Позволяет авторизоваться на порту путем посылки логина/пароля на свич, после чего открывается порт. Однако же это не гарантирует безопасность на сетевом уровне. Там надо немножко покрутить и ip секурити в свичах и эту опцию чегототам о которой массы так долго говорят.

802.1x ?
а как же быть с ви-фи роутерами? сколько из них умеют 802.1х?
Кстати, если у тебя уже есть управляемое оборудование, то так ли важна авторизация? Достаточно выдать по DHCP option 82 клиенту ip-адрес + dhcp snooping - это будет гарантировать, что на данном порту коммутатора находится конкретный ip, и изменить клиент его себе не сможет.
В принципе, этого достаточно.

[Efendy]

Этого недостаточно. Все что ты перечислил гарантирует правильную доставку DHCP-пакетов (запросы  на сервер, левые блокировать). Остается возможность изменения как mac, так и ip. Первое решает как раз авторизация на порту, которая может происходить не только по паролю, но и по маку. Бонусом получаем то, что авторизация идет по RADIUS. Блокировка смены ip - это только Ip security, подвязанная  к option 82. Такое есть в некоторых свичах. Заявлено в спецификации по крайней мере

[elite]

Блокировка смены ip - это только Ip security, подвязанная  к option 82. Такое есть в некоторых свичах. Заявлено в спецификации по крайней мере

Это и называется dhcp snooping )
Вернее немножко не так:

DHCP snooping регулирует только сообщения DHCP и не может повлиять напрямую на трафик пользователей или другие протоколы. Некоторые функции коммутаторов, не имеющие непосредственного отношения к DHCP, могут выполнять проверки на основании таблицы привязок DHCP snooping (DHCP snooping binding database). В их числе:
Dynamic ARP Protection (Inspection) — проверка ARP-пакетов, направленная на борьбу с ARP-spoofing,
IP Source Guard — выполняет проверку IP-адреса отправителя в IP-пакетах, предназначенная для борьбы с IP-spoofingом.

это имелось в виду

[Efendy]

Ты написал, что я написал не так, но в итоге написал, что я написал так))

про IP Source Guard и говрил. Если в свиче это есть - схема может считаться безопасной, иначе - толку от нее ноль

[elite]

Ты написал, что я написал не так, но в итоге написал, что я написал так))

Ну мы друг друга поняли 
а без ip source guard применять option 82 не вижу смысла
имхо к такой схеме и надо стремиться, а всякие 802.1х - от лукавого ))