bet to pririšimo prie MAC saugumas tai irgi toks gausiai butaforinis...

"Salas" <salas@freemail.lt> wrote in message 
news:icipto$ogr$1@trimpas.omnitel.net...
> Paprasciausiai anksciau nebuvo tokio poreikio.
>
>
> "Dainiushas" <skirdain@gmail.com> wrote in message 
> news:icinsi$lam$1@trimpas.omnitel.net...
>>a tai tu šito dar nebuvai radęs??? :)
>>
>> "Salas" <salas@freemail.lt> wrote in message 
>> news:icimlg$jl1$1@trimpas.omnitel.net...
>>> Dekui uz patarimus.
>>> Radau komutatoriuje galimybe porta priristi tiesiogiai prie konkretaus 
>>> MAC.
>>> Manau tai visiskai ispres mano mineta problema.
>>>
>>>
>>>
>>>
>>>
>>>
>>> "Vasaris" <none@none.none> wrote in message 
>>> news:icgqcj$pi9$1@trimpas.omnitel.net...
>>>> "Salas" <salas@freemail.lt> wrote in message 
>>>> news:icgb2d$5am$1@trimpas.omnitel.net...
>>>>> Butent kad nebus galimybiu visikai panaikinti everyone/authenticated
>>>>> leidimu. Be to kad pilnai uzsecurint tinkla paliekant tuos uzerius 
>>>>> reikia
>>>>> ideti labai daug darbo, ir vistiek islieka galimybe palikti kaskokia 
>>>>> skyle,
>>>>> arba atvirksciai, dedant apsaugas sutrikdyti normalu darba.
>>>>
>>>> O kas tau trukdo? Kas atlieka autentifikaciją? Komutatorius "per-port 
>>>> on behalf of the port-owner"?
>>>> Aš tingiu skaityt tavo dokumentaciją, klok sutrumpintai.
>>>>
>>>> Mano požiūriu, skylių itin daug čia nėra.
>>>>
>>>>> Taip pat islieka
>>>>> didele tikimybe atsirasti saugumo spragoms ateityje, kai kuris nors
>>>>> administratorius neivertins esamos konfiguracijos, ir pamirs si 
>>>>> aspekta, del
>>>>> tokiu acountu.
>>>>
>>>> Nepamirš, jei bus tvarkinga dokumentacija.
>>>>
>>>>> Sioje vietoje mano nuomone gamintoju priimtas sprendimas labai 
>>>>> kvailas. Jau
>>>>> geriau butu buvus galimybe tiesiai komutatoriuje portui priskirti 
>>>>> konkretu
>>>>> MAC adresa.
>>>>
>>>> O tai ką - jos tipo nėra ar tu dokumentacijos neskaitei arba po 
>>>> komutatoriaus komandas, nesvarbu WEB, MENU ar CLI nesikapstei? :-P
>>>>
>>>>> Taip pat priverstinai reikai isjungti Password complexity galimybe 
>>>>> visame
>>>>> domene
>>>>
>>>> Visiškai nebūtinai. Šitas parametras gali būti laikinai išjungtas, 
>>>> suvesti slaptažodžiai ir vėl įjungtas. Nes jis galioja tik slaptažodžio 
>>>> pirminio nustatymo/keitimo metu, bet niekaip netikrinamas logon'o metu 
>>>> ir atmetamas, jei per paprastas - tai neįmanoma nei techniškai, nei tuo 
>>>> labiau kriptografiškai logiškai.
>>>>
>>>>> Kadangi tinklas pakankamai didelis. Tai manau tikrai bus skirtumas, 
>>>>> jei pvz
>>>>
>>>> Tinklo dydis visiškai neturi jokios reikšmės. Turi tik 
>>>> "swiching/routing fabric capacity". Paprastai tarp klientų ir tarp 
>>>> serverių, ir tuo labiau - periferijos jis būna gausiai neišnaudotas.
>>>>
>>>>> 500 MB failas is didzainerio kompiuterio i tapati spausdintuva, esanti 
>>>>> tame
>>>>> paciame komutatoriuje keliaus tiesiai, ar pro 7 tarpinius 
>>>>> komutatorius, per
>>>>> firewall'a ir paskui tais paciais komutatatoriais atgal i 
>>>>> spausdintuva.
>>>>
>>>> Aš nessiėmiau iš nepateiktų duomenų spręsti apie pačio tinklo 
>>>> topologiją ar kitas charakteristikas.
>>>> Mano manymu, komutavimo aspektu skirtumo nesudarys, nes 500 MB turbūt 
>>>> nespausdinama kas 30 sek. iš daugiau kaip 50% komutatorių portų vieno 
>>>> komutatoriaus atžvilgiu?
>>>> Dėl ugniasienės - vėlgi nesiimu spręsti, nes aparatinės (dedikuotos) 
>>>> atveju yra vienaip ir tam tikri limitai būna. Jei yra kokia 
>>>> virtualizacija - pasidaryti našią programinę ugniasienę su velniažin 
>>>> kiek branduolių, atminties ir tinklo pralaidos, kas galiausiai susiveda 
>>>> į filtravimo pralaidumą - juokų darbas.
>>>
>