ограничение доступа

Answered Question
авг 1st, 2012
User Badges:

Добрый день.

Имеется парк ПК примерно 80 и несколько серверов в одной локальной сети (например сервер А и сервер В).

Необхождимо, чтобы все ПК имели доступ к серверу А и только некторые из ПК к серверу В.

Я так понимаю можно организовать посредством Cisco ASA или с помощью коммутаторов.

Какое оборудование выбрать и как лучше организовать с точки зрения безопасности и производительности?

I have this problem too.
0 голоса
Correct Answer by Pavel Doronin about 5 лет 1 неделя назад

На счет D-link traffic_segmentation аналог в Cisco - Private VLAN (Catalyst 3750 и выше).

На счет смены IP это верно. Но можно с этим бороться несколькими способами.


1)

a) На каждый порт 2960 вешаем Port ACL. Т.е. на каждом конкретном порту мы разрешаем выходить только с определенного IP. Если человек меняет IP он лишается выхода в сеть вообще.

б) От смены MAC адреса защищаемся port-security.

в) От смены компьютера (на нем можно поменять и IP и MAC на нужный) защищаемся 802.1X . Недостаток - использование статических адресов.

г) Можно добавить Static ARP Inspection


2) Если необходимы динамические адреса - к указанной выше конструкции добавляем опцию DHCP 82.

В этом случае на каждом конкретном порту мы всегда получаем конкретный IP.

Добавляем к этому DHCP Snooping,

Можно пунк а) заменить IP source Guard (меньше конфигурации)

Static ARP Inspection заменить Dynamic ARP Inspection и получаем полноценную защиту.


3) Если поставить ASA вместо свитча то можно реализвать еще один вариант доступа Identiti Firewall. Но в этом случае нам необходим Active Directory.

Loading.
Pavel Doronin пт, 08/10/2012 - 00:19
User Badges:
  • Bronze, 100 points or more

Если использовать access-list можно обойтись любым коммутатором от 2960 и выше, производительность будет ссответствовать line-rate.

Dmitry Pisarev пт, 08/10/2012 - 00:49
User Badges:

Ок.Access-list строится по MAC или IP и соотвественно сменив, к примеру IP можно обойти ограничение.

А есть на 2960 или других моделя Cisco, аналог технилогии traffic_segmentation (используется в rкоммутаторах Dlink)?

Correct Answer
Pavel Doronin пт, 08/10/2012 - 01:17
User Badges:
  • Bronze, 100 points or more

На счет D-link traffic_segmentation аналог в Cisco - Private VLAN (Catalyst 3750 и выше).

На счет смены IP это верно. Но можно с этим бороться несколькими способами.


1)

a) На каждый порт 2960 вешаем Port ACL. Т.е. на каждом конкретном порту мы разрешаем выходить только с определенного IP. Если человек меняет IP он лишается выхода в сеть вообще.

б) От смены MAC адреса защищаемся port-security.

в) От смены компьютера (на нем можно поменять и IP и MAC на нужный) защищаемся 802.1X . Недостаток - использование статических адресов.

г) Можно добавить Static ARP Inspection


2) Если необходимы динамические адреса - к указанной выше конструкции добавляем опцию DHCP 82.

В этом случае на каждом конкретном порту мы всегда получаем конкретный IP.

Добавляем к этому DHCP Snooping,

Можно пунк а) заменить IP source Guard (меньше конфигурации)

Static ARP Inspection заменить Dynamic ARP Inspection и получаем полноценную защиту.


3) Если поставить ASA вместо свитча то можно реализвать еще один вариант доступа Identiti Firewall. Но в этом случае нам необходим Active Directory.

Действия

Информация о дискуссии