Tema: Re: 802.1x wired access
Autorius: Casper
Data: 2010-11-24 13:20:01
Jei ten normalus switchas ir nori padaryti gan saugiai:
Prikabink print serverio portui IP-MAC surisima
ir apribok ACL'ais tik print serverio darbui reikalingus protokolus.
Jei dar nori ir truputi paranojos, tai isijunk trapus ant to porto 
Link-down/Link-up



"Salas" <salas@freemail.lt> wrote in message 
news:iciqp0$psf$1@trimpas.omnitel.net...
> Sutinku, bet jis ne kiek ne prastesnis uz ta "Mac authentikacija".
> Ateityje aisku galima bus galvoti ir apie atskiryma VLAN'ais, bet kaip 
> pradinis variantas kol kas tiks ir sis.
> Juo labiau, kad tikslas viso to, kad eilinis uzeris atsivilkes savo 
> laptopa ir ijunges i tinkla, neturetu jokio priejimo.
>
>
>
>
> "Dainiushas" <skirdain@gmail.com> wrote in message 
> news:iciq4r$osm$1@trimpas.omnitel.net...
>> bet to pririšimo prie MAC saugumas tai irgi toks gausiai butaforinis...
>>
>> "Salas" <salas@freemail.lt> wrote in message 
>> news:icipto$ogr$1@trimpas.omnitel.net...
>>> Paprasciausiai anksciau nebuvo tokio poreikio.
>>>
>>>
>>> "Dainiushas" <skirdain@gmail.com> wrote in message 
>>> news:icinsi$lam$1@trimpas.omnitel.net...
>>>>a tai tu šito dar nebuvai radęs??? :)
>>>>
>>>> "Salas" <salas@freemail.lt> wrote in message 
>>>> news:icimlg$jl1$1@trimpas.omnitel.net...
>>>>> Dekui uz patarimus.
>>>>> Radau komutatoriuje galimybe porta priristi tiesiogiai prie konkretaus 
>>>>> MAC.
>>>>> Manau tai visiskai ispres mano mineta problema.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> "Vasaris" <none@none.none> wrote in message 
>>>>> news:icgqcj$pi9$1@trimpas.omnitel.net...
>>>>>> "Salas" <salas@freemail.lt> wrote in message 
>>>>>> news:icgb2d$5am$1@trimpas.omnitel.net...
>>>>>>> Butent kad nebus galimybiu visikai panaikinti everyone/authenticated
>>>>>>> leidimu. Be to kad pilnai uzsecurint tinkla paliekant tuos uzerius 
>>>>>>> reikia
>>>>>>> ideti labai daug darbo, ir vistiek islieka galimybe palikti kaskokia 
>>>>>>> skyle,
>>>>>>> arba atvirksciai, dedant apsaugas sutrikdyti normalu darba.
>>>>>>
>>>>>> O kas tau trukdo? Kas atlieka autentifikaciją? Komutatorius "per-port 
>>>>>> on behalf of the port-owner"?
>>>>>> Aš tingiu skaityt tavo dokumentaciją, klok sutrumpintai.
>>>>>>
>>>>>> Mano požiūriu, skylių itin daug čia nėra.
>>>>>>
>>>>>>> Taip pat islieka
>>>>>>> didele tikimybe atsirasti saugumo spragoms ateityje, kai kuris nors
>>>>>>> administratorius neivertins esamos konfiguracijos, ir pamirs si 
>>>>>>> aspekta, del
>>>>>>> tokiu acountu.
>>>>>>
>>>>>> Nepamirš, jei bus tvarkinga dokumentacija.
>>>>>>
>>>>>>> Sioje vietoje mano nuomone gamintoju priimtas sprendimas labai 
>>>>>>> kvailas. Jau
>>>>>>> geriau butu buvus galimybe tiesiai komutatoriuje portui priskirti 
>>>>>>> konkretu
>>>>>>> MAC adresa.
>>>>>>
>>>>>> O tai ką - jos tipo nėra ar tu dokumentacijos neskaitei arba po 
>>>>>> komutatoriaus komandas, nesvarbu WEB, MENU ar CLI nesikapstei? :-P
>>>>>>
>>>>>>> Taip pat priverstinai reikai isjungti Password complexity galimybe 
>>>>>>> visame
>>>>>>> domene
>>>>>>
>>>>>> Visiškai nebūtinai. Šitas parametras gali būti laikinai išjungtas, 
>>>>>> suvesti slaptažodžiai ir vėl įjungtas. Nes jis galioja tik 
>>>>>> slaptažodžio pirminio nustatymo/keitimo metu, bet niekaip 
>>>>>> netikrinamas logon'o metu ir atmetamas, jei per paprastas - tai 
>>>>>> neįmanoma nei techniškai, nei tuo labiau kriptografiškai logiškai.
>>>>>>
>>>>>>> Kadangi tinklas pakankamai didelis. Tai manau tikrai bus skirtumas, 
>>>>>>> jei pvz
>>>>>>
>>>>>> Tinklo dydis visiškai neturi jokios reikšmės. Turi tik 
>>>>>> "swiching/routing fabric capacity". Paprastai tarp klientų ir tarp 
>>>>>> serverių, ir tuo labiau - periferijos jis būna gausiai neišnaudotas.
>>>>>>
>>>>>>> 500 MB failas is didzainerio kompiuterio i tapati spausdintuva, 
>>>>>>> esanti tame
>>>>>>> paciame komutatoriuje keliaus tiesiai, ar pro 7 tarpinius 
>>>>>>> komutatorius, per
>>>>>>> firewall'a ir paskui tais paciais komutatatoriais atgal i 
>>>>>>> spausdintuva.
>>>>>>
>>>>>> Aš nessiėmiau iš nepateiktų duomenų spręsti apie pačio tinklo 
>>>>>> topologiją ar kitas charakteristikas.
>>>>>> Mano manymu, komutavimo aspektu skirtumo nesudarys, nes 500 MB turbūt 
>>>>>> nespausdinama kas 30 sek. iš daugiau kaip 50% komutatorių portų vieno 
>>>>>> komutatoriaus atžvilgiu?
>>>>>> Dėl ugniasienės - vėlgi nesiimu spręsti, nes aparatinės (dedikuotos) 
>>>>>> atveju yra vienaip ir tam tikri limitai būna. Jei yra kokia 
>>>>>> virtualizacija - pasidaryti našią programinę ugniasienę su velniažin 
>>>>>> kiek branduolių, atminties ir tinklo pralaidos, kas galiausiai 
>>>>>> susiveda į filtravimo pralaidumą - juokų darbas.
>>>>>
>>>
>
+REQ: NAS, LAN HDDAleksanderis2010-12-29 15:02
+COMM: Keletas routersaulius749012010-12-29 11:18
+Speed touch 585 v6 ir VDnet internetas - kaip pajungti ?Prime2010-12-29 10:07
+Pirelli alternatyvaWolfschmidt2010-12-28 22:44
+Ar pas jus skype veikia?Nabletas@Work2010-12-23 10:10
+TEO - bevielis intikas tik 1.5MB/s, wtf?ZeaLot@work2010-12-21 12:56
+Router pasirinkimasLinas2010-12-20 12:44
+Netgear WNDR3700 (v1) vs Linksys WRT610N (v2)Bronco2010-12-19 15:44
+dvieju kontoru sujungimas4992010-12-18 18:25
Su kuo daroma?Hyperlink2010-12-17 22:07
+Ar cia yra Rokas Z.?mrlz7772010-12-17 20:49
+REQ: Teo konfig`o Zyxel Prestige 660R-61 dsl modemuiLavonas2010-12-14 22:27
+Pasto serverio talpaNight2010-12-14 10:41
+COM.> SSD ir SATA HDDArturas2010-12-13 11:17
+Q:Tinklas iš Win 7 į Win XP ir Win Vista.Monza2010-12-13 00:57
+Kaip padarytiMiegapele2010-12-08 14:56
+Dėl linksys WRT54GDars2010-12-08 14:40
+q:d-link dir-300 problemamindE2010-12-07 23:58
+gigabitinis routeris?[mikro]2010-12-07 11:34
+OFF: manoteo.lt neveikia?Giedrius2010-12-06 20:04
reikalingas laptopas uz 500 - 600 ltlaika2010-12-06 19:39
+reikia dv6000 ekranoŽąsinas2010-12-06 17:21
Q: ar galima d-link dsl-2640u isprievartauti kad routintu skyneta?audrenas692010-12-05 20:20
+Q: Win7 Homeuser vs usersM@rumba2010-12-05 15:55
+Q: Apsauga komutacinei spintaiGS2010-12-04 19:26
+q: koki WIFI AP ar repeateri rinktis?[mikro]2010-12-04 14:02
+internetas Kaune. koki pasirinkti?hi2010-12-03 22:37
+rekomenduokit wifi routeriuka_oo_2010-12-03 21:36
+bad flashEP2010-12-01 11:47
+keli klausimaishedeuw2010-11-30 18:50
Q:Namų tinklas ir Eset Smart Security 4.Monza2010-11-29 20:02
+Q: NAS (be hdd) iki 150LTpranZo2010-11-28 23:13
+Kas geriau $ kompiuterinių tinklų ar serverio administravimas?kipisas2010-11-26 15:39
-802.1x wired accessSalas2010-11-23 11:47
Re: 802.1x wired accessVasaris2010-11-23 13:30
Re: 802.1x wired accessSalas2010-11-23 14:11
Re: 802.1x wired accessVasaris2010-11-23 18:33
Re: 802.1x wired accessSalas2010-11-24 11:42
Re: 802.1x wired accessDainiushas2010-11-24 12:02
Re: 802.1x wired accessSalas2010-11-24 12:37
Re: 802.1x wired accessDainiushas2010-11-24 12:41
Re: 802.1x wired accessVasaris2010-11-24 22:01
Re: 802.1x wired accessDainiushas2010-11-25 09:14
Re: 802.1x wired accessVasaris2010-11-25 22:48
Re: 802.1x wired accessSalas2010-11-24 12:52
Re: 802.1x wired accessCasper2010-11-24 13:20
Re: 802.1x wired accessSalas2010-11-24 13:51
Re: 802.1x wired accessVasaris2010-11-24 22:03
+VPN prieiga klientui per kelis IP rėžiusVasaris2010-11-22 20:54
+Patarimo del irangosNabletas@Work2010-11-22 16:43
+D-Link DIR-300/NRUMekigis2010-11-20 12:53
+del firmwareEP2010-11-18 19:56
OT: Duomenu perdavimo kabeliu zemelapis 1901m. (KB!)@marijonas2010-11-18 13:49
isa 2006 certain sites connection timed outmykolas2010-11-17 13:54
+COMM: Wi-fi marsrutizatoriu Asus WL-500GP V1Zooooo2010-11-15 20:41
+nera interneto nanostation m5Tomas <james(trinti)@nkm.lt>2010-11-15 19:47
+Kodel (LAN)???Lavonas2010-11-12 23:19
+mezon modemasZmogus2010-11-12 09:24