https://slinkov.ru/openforum/vsluhforumID6/1907.html Модный ИТ-начальник с любовью к параноидальной безопасности предложил улучшить и углубить безопасность на коммутаторах. Рассуждая здраво и оптимистично, разумное зерно в этом требовании есть: коммутататоры Cat2960, c3560E, c3560X, c3750, c3750G, c3750E используются явно не на столько, сколько стоят, из фичей используется:<br>- повсеместно VLAN 802.1q <br>- линки между коммутаторами 10Gbit (SR и LR)<br>- отдается статистика по SNMP и syslog<br>- c3750 повязаны в стек<br>- ограничения на административный доступ выставлены<br>это все, как видите, не густо.<br><br>Что можно замутить на тему пассивной безопасности?<br>Может сделать некоторые порты карантинные, типо туда враги подключаются?<br>Может обвесить чем-то линковые порты, не убивая 10G?<br>Особо интересует коммутатор, который принимает соединения от ISP (Интеренет и пр. услуги снаружи). Сейчас это 2960, можно поменять на c3750G<br>Спасибо за идеи!<br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#20 Wed, 03 Feb 2016 11:02:14 GMT &gt; гости патчкордом две розетки не соединят, думаешь?<br><br>так они не закроссированы, свич в серверной. Если только эникеи постараются, но их за это жестоко караю выключением Инета. За оставленную соплю на пачт-панели на один день, а такая петелька им надолго обойдется.<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#19 Tue, 02 Feb 2016 13:16:16 GMT &gt;&gt;&gt;&gt; На кой тушить STP на всех VLAN?<br>&gt; на этом свиче у меня линки на операторов, на граничные устройства и <br>&gt; пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще? <br>&gt; там в каждом ВЛАНе по 10 mac-ов<br><br>гости патчкордом две розетки не соединят, думаешь?<br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#18 Tue, 02 Feb 2016 06:46:31 GMT &gt;&gt;&gt; На кой тушить STP на всех VLAN? <br><br>на этом свиче у меня линки на операторов, на граничные устройства и пул гостей(типа DMZ по отношению к FireWall) Зачем там STP вообще? там в каждом ВЛАНе по 10 mac-ов<br><br>&gt;&gt; Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например...<br>&gt; Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь <br>&gt; нормальный IOS).<br><br>А еще у китайцев написано, а не реализовано<br><br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#17 Tue, 02 Feb 2016 03:52:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Dynamic ARP Inspection <br>&gt;&gt; IGMP Snooping <br>&gt;&gt; Storm Control <br>&gt;&gt; Protected Ports <br>&gt;&gt; Port Security <br>&gt;&gt; ...<br>&gt;&gt; Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" <br>&gt;&gt; и читайте внимательней.<br>&gt; Все это есть и в китайских L2+ свитчах, не говоря о всяких <br>&gt; DLink-ах и Zyxel например...<br><br>Ценность сисек не в густоте фич, а в стабильности работы (когда подберешь нормальный IOS).<br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#16 Tue, 02 Feb 2016 03:50:44 GMT &gt; А если он <br>&gt; поменяет девайс (на что имеет полное право) а я буду на <br>&gt; Канарах....<br><br>Информационная безопасность это всегда компромисс. Каждый сам выбирает границу, когда пора остановиться.<br><br>На шторм контроль не надо шатдаунов, достаточно просто ограничить скорость, чтобы оно хоть как-то работало.<br><br>На кой тушить STP на всех VLAN? Речь идет о единственном порту - стыке с оператором. Включить там bpdu filter и все. Не надо ничего тушить.<br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#15 Mon, 01 Feb 2016 17:17:47 GMT &gt;[оверквотинг удален]<br>&gt; DHCP Snooping <br>&gt; IP Source Gaurd <br>&gt; Dynamic ARP Inspection <br>&gt; IGMP Snooping <br>&gt; Storm Control <br>&gt; Protected Ports <br>&gt; Port Security <br>&gt; ...<br>&gt; Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" <br>&gt; и читайте внимательней.<br><br>Все это есть и в китайских L2+ свитчах, не говоря о всяких DLink-ах и Zyxel например...<br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#14 Mon, 01 Feb 2016 11:59:38 GMT Спасибо.<br> "storm-control broadcast pps 500 100 <br> storm-control action shutdown <br> errdisable recovery cause storm-control <br> errdisable recovery interval 60" <br> как я понимаю, если заглушить на всех ВЛАНах STP, то не будет <br> актуально? по крайней мере в статье так сказано <br><br>учитывая заглушенный STP, статический ip на интерфейсе с провайдерами, настроеный L2 secure, остается только жесткая привязка к MAC устройства оператора. А если он поменяет девайс (на что имеет полное право) а я буду на Канарах.... <br><br><br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#13 Mon, 01 Feb 2016 11:55:34 GMT Спасибо.<br> https://slinkov.ru/openforum/vsluhforumID6/1907.html#12 Mon, 01 Feb 2016 06:19:12 GMT На свитчах циски куча фич по безопасности.<br><br>DHCP Snooping<br>IP Source Gaurd<br>Dynamic ARP Inspection<br>IGMP Snooping<br>Storm Control<br>Protected Ports<br>Port Security<br>...<br><br>Открываете что-то типа "Catalyst 3750-X and 3560-X Switch Software Configuration Guide" и читайте внимательней.<br>