Tema: Re: 802.1x wired access
Autorius: Salas
Data: 2010-11-24 13:51:58
Man atrodo ACL'us palaiko tik routing switchai.



"Casper" <casper666_nespaminkit_@delfi.lt> wrote in message 
news:icisd0$sgo$1@trimpas.omnitel.net...
> Jei ten normalus switchas ir nori padaryti gan saugiai:
> Prikabink print serverio portui IP-MAC surisima
> ir apribok ACL'ais tik print serverio darbui reikalingus protokolus.
> Jei dar nori ir truputi paranojos, tai isijunk trapus ant to porto 
> Link-down/Link-up
>
>
>
> "Salas" <salas@freemail.lt> wrote in message 
> news:iciqp0$psf$1@trimpas.omnitel.net...
>> Sutinku, bet jis ne kiek ne prastesnis uz ta "Mac authentikacija".
>> Ateityje aisku galima bus galvoti ir apie atskiryma VLAN'ais, bet kaip 
>> pradinis variantas kol kas tiks ir sis.
>> Juo labiau, kad tikslas viso to, kad eilinis uzeris atsivilkes savo 
>> laptopa ir ijunges i tinkla, neturetu jokio priejimo.
>>
>>
>>
>>
>> "Dainiushas" <skirdain@gmail.com> wrote in message 
>> news:iciq4r$osm$1@trimpas.omnitel.net...
>>> bet to pririšimo prie MAC saugumas tai irgi toks gausiai butaforinis...
>>>
>>> "Salas" <salas@freemail.lt> wrote in message 
>>> news:icipto$ogr$1@trimpas.omnitel.net...
>>>> Paprasciausiai anksciau nebuvo tokio poreikio.
>>>>
>>>>
>>>> "Dainiushas" <skirdain@gmail.com> wrote in message 
>>>> news:icinsi$lam$1@trimpas.omnitel.net...
>>>>>a tai tu šito dar nebuvai radęs??? :)
>>>>>
>>>>> "Salas" <salas@freemail.lt> wrote in message 
>>>>> news:icimlg$jl1$1@trimpas.omnitel.net...
>>>>>> Dekui uz patarimus.
>>>>>> Radau komutatoriuje galimybe porta priristi tiesiogiai prie 
>>>>>> konkretaus MAC.
>>>>>> Manau tai visiskai ispres mano mineta problema.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> "Vasaris" <none@none.none> wrote in message 
>>>>>> news:icgqcj$pi9$1@trimpas.omnitel.net...
>>>>>>> "Salas" <salas@freemail.lt> wrote in message 
>>>>>>> news:icgb2d$5am$1@trimpas.omnitel.net...
>>>>>>>> Butent kad nebus galimybiu visikai panaikinti 
>>>>>>>> everyone/authenticated
>>>>>>>> leidimu. Be to kad pilnai uzsecurint tinkla paliekant tuos uzerius 
>>>>>>>> reikia
>>>>>>>> ideti labai daug darbo, ir vistiek islieka galimybe palikti 
>>>>>>>> kaskokia skyle,
>>>>>>>> arba atvirksciai, dedant apsaugas sutrikdyti normalu darba.
>>>>>>>
>>>>>>> O kas tau trukdo? Kas atlieka autentifikaciją? Komutatorius 
>>>>>>> "per-port on behalf of the port-owner"?
>>>>>>> Aš tingiu skaityt tavo dokumentaciją, klok sutrumpintai.
>>>>>>>
>>>>>>> Mano požiūriu, skylių itin daug čia nėra.
>>>>>>>
>>>>>>>> Taip pat islieka
>>>>>>>> didele tikimybe atsirasti saugumo spragoms ateityje, kai kuris nors
>>>>>>>> administratorius neivertins esamos konfiguracijos, ir pamirs si 
>>>>>>>> aspekta, del
>>>>>>>> tokiu acountu.
>>>>>>>
>>>>>>> Nepamirš, jei bus tvarkinga dokumentacija.
>>>>>>>
>>>>>>>> Sioje vietoje mano nuomone gamintoju priimtas sprendimas labai 
>>>>>>>> kvailas. Jau
>>>>>>>> geriau butu buvus galimybe tiesiai komutatoriuje portui priskirti 
>>>>>>>> konkretu
>>>>>>>> MAC adresa.
>>>>>>>
>>>>>>> O tai ką - jos tipo nėra ar tu dokumentacijos neskaitei arba po 
>>>>>>> komutatoriaus komandas, nesvarbu WEB, MENU ar CLI nesikapstei? :-P
>>>>>>>
>>>>>>>> Taip pat priverstinai reikai isjungti Password complexity galimybe 
>>>>>>>> visame
>>>>>>>> domene
>>>>>>>
>>>>>>> Visiškai nebūtinai. Šitas parametras gali būti laikinai išjungtas, 
>>>>>>> suvesti slaptažodžiai ir vėl įjungtas. Nes jis galioja tik 
>>>>>>> slaptažodžio pirminio nustatymo/keitimo metu, bet niekaip 
>>>>>>> netikrinamas logon'o metu ir atmetamas, jei per paprastas - tai 
>>>>>>> neįmanoma nei techniškai, nei tuo labiau kriptografiškai logiškai.
>>>>>>>
>>>>>>>> Kadangi tinklas pakankamai didelis. Tai manau tikrai bus skirtumas, 
>>>>>>>> jei pvz
>>>>>>>
>>>>>>> Tinklo dydis visiškai neturi jokios reikšmės. Turi tik 
>>>>>>> "swiching/routing fabric capacity". Paprastai tarp klientų ir tarp 
>>>>>>> serverių, ir tuo labiau - periferijos jis būna gausiai neišnaudotas.
>>>>>>>
>>>>>>>> 500 MB failas is didzainerio kompiuterio i tapati spausdintuva, 
>>>>>>>> esanti tame
>>>>>>>> paciame komutatoriuje keliaus tiesiai, ar pro 7 tarpinius 
>>>>>>>> komutatorius, per
>>>>>>>> firewall'a ir paskui tais paciais komutatatoriais atgal i 
>>>>>>>> spausdintuva.
>>>>>>>
>>>>>>> Aš nessiėmiau iš nepateiktų duomenų spręsti apie pačio tinklo 
>>>>>>> topologiją ar kitas charakteristikas.
>>>>>>> Mano manymu, komutavimo aspektu skirtumo nesudarys, nes 500 MB 
>>>>>>> turbūt nespausdinama kas 30 sek. iš daugiau kaip 50% komutatorių 
>>>>>>> portų vieno komutatoriaus atžvilgiu?
>>>>>>> Dėl ugniasienės - vėlgi nesiimu spręsti, nes aparatinės (dedikuotos) 
>>>>>>> atveju yra vienaip ir tam tikri limitai būna. Jei yra kokia 
>>>>>>> virtualizacija - pasidaryti našią programinę ugniasienę su velniažin 
>>>>>>> kiek branduolių, atminties ir tinklo pralaidos, kas galiausiai 
>>>>>>> susiveda į filtravimo pralaidumą - juokų darbas.
>>>>>>
>>>>
>>
>
>