Vlákno názorů k článku Bráníme se odposlechu: promiskuitní režim od anonym - Jak se presvedcilo rada lidi na koleji 17.11.,...
-
Port security se budu venovat v nasledujicich dilech. Zminovat se o port security by bylo predbihani a zbytecne by to matlo. Stejnak port security nezabrani promiskuitnimu rezimu. Navic jak jste popsal vy, svazat port pouze s MAC adresou nezbrani utokum tymu DHCP Spooofing, DNS Spoofing, ARP Cache poisoning, ICMP Redirecting. -
Ano s tim ze bezpecnost nikdy nebude dokonala mate pravdu :-). Ostatne krome penez jde take zvysujici se bezpecnost hodne do casu, ktery je potreba pro udrzbu.
Ohledne bezpecnosti na MAC, ano zmenit si MAC je jednoduche. Ovsem nejdrive musite onu MAC adresu zjistit.
Zabezepeceni v ramci L2 muze byt silne, napriklad pokud se pouzivaji hw tokeny. Mohl by jste mi ale prosim vysvetlit co je draheho na klientovi (pokud nepouzivam ctecku atd.. tak snad staci standartni os?)? Dale bych se chtel zeptat jeste jak myslite ty presuny? Ja myslel ze tohle vsecko take vzniklo za ucelem pouziti v mobilnich sitich. Vzdyt se autentizujete proti serveru.
Ano tyto reseni co uvadite povazuju za prinosne :-). -
David Rohleder (neregistrovaný)Supplicant je pokud se nepletu součástí Windows XP zcela standardně. V linuxu a podobných systémech je supplicant také dostupný.
Nevím, co si představujete pod pojmem "neustálý přesun klientů", ale RADIUS server umožňuje na základě autentizace přidělit portu správnou VLAN. Takže naopak 802.1X je pro velké společnosti velmi výhodná metoda autentizace. -
anonymníZ meho pohledu absolutni bezpednost neexistuje. Vlastne je to takovy kompromis mezi paranojou a financemi tj. paranoja neco stoji :). Jinymi slovy bezpecnost lze pouze zvysovat ale nikdy ji nelze docilit .... ha limita blizici se nekonecnu (nekonecno=security risk).
Bezpecnost zalozena na port security (zvlastni to Cisco termint) tj. "autentizace" na zaklade fyzicke adresy adapteru (MAC) je chymera. Protoze MAC adresu lze velice jednoduse podvrhnout res. softwarove emulovat a nejen v metalickych sitich myslim, ze odposlouchavani v bezdratovych sitich je daloko zabavnejsi.
Co s tim tedy udelat? Lze se autentikovat primo oproti L2 zarizeni do ktereho jsou klienti pripojeni. Lze k tomu vyuzit nektery dobre k tomu prizpusobenych mechanismu napr. 802.1X v kombinaci s RADIUS serverem atd.. Krasny do to doby nez dojde k implementaci. L2 zarizeni pro takova reseni jsou celkem draha uprime receno zkousel jsem pouze na Cisco a Nortel. Suplikant bud nedostacujici nebo take celkem drahy a pri neustalych presunech klientu v ramci LAN/WAN nepouzitelne.
Uprime receno si myslim, ze dnes se v techto vetsich reseni pouziva pouze port security, private vlan, Dynamic ARP Inspection a spousty vice ci mene uzitecnych ACL. -
David Rohleder (neregistrovaný)Supplicant je pokud se nepletu součástí Windows XP zcela standardně. V linuxu a podobných systémech je supplicant také dostupný.
Nevím, co si představujete pod pojmem "neustálý přesun klientů", ale RADIUS server umožňuje na základě autentizace přidělit portu správnou VLAN. Takže naopak 802.1X je pro velké společnosti velmi výhodná metoda autentizace.
ČLÁNKY DO MAILU