Привет.
----- Original Message -----
From: "Michael V. Smirnoff" <aidan@miee.ru>
To: <inet-admins@info.east.ru>
Sent: Monday, October 23, 2000 6:20 AM
Subject: Re: [inet-admins] хитрая ситуация
> On Mon, 23 Oct 2000, Vladimir A. Jakovenko wrote:
>
> > On Mon, Oct 23, 2000 at 12:51:04AM +0400, Pavel Merdin wrote:
> > >
> > >Хочу вынести на обсуждение довольно хитрую проблему.
> > >Есть сеть Ethernet для юзеров, построенная так:
> > >Центральный узел - оптика - хаб в доме - юзеры в доме
> > >На центральном узле свич, после него FreeBSD с системой управления,
> > >в которой просто привязывается arp (IP к MAC-адресу).
> > >Такая security работала до определенных пор, пока некоторые не стали
> > >подделывать MAC.
> > >Вопрос естессно: что делать? да еще и подешевле :) (мы тут в регионах
> > >рублями рассчитываемся :)
> > >Если бы существовали хабы с привязкой MAC-порт - то понятно, но я про
> > >такие не знаю,
> > >бывают такие в природе вообще?
> > >Еще как вариант - можно было бы сделать всем не реальные IP, а интранет
> > >и по VPN всех - нескольких
> > >зайцев убиваем: и секьюрити по имени и трафик перехватить нельзя. Но
это
> > >тоже своя заморочка -
> > >юзеров приличное количество, всем надо будет все идти и устанавливать.
И
> > >для серверов это не совсем хорошо.
> > >Щас вот временный вариант пока нашли - по https можно отключить себе
> > >доступ в интернет. Но это изврат,
> > >конечно...
Варианты:
1) Коммутатор/хаб в доме с возможностью привязки MAC-порт
Идентифицировать пользователей по login/password
2) Socks5 с аутентификацией
3) Cisco IOS FW/IDS, Authentification proxy, либо Lock-and-Key
4) PPTP
----
Denis V. Schapov
IT Department
JSC "Electrosvyaz"
Irkutsk, Russia
schapov@esir.ru
+7 (3952) 256762
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
