проблема в том, что switch это как минимум trusted device и механизмы
блокировки неизвестных пакетов в Catalyst, например, есть и работают, так
что единственный способ "слать дерьмо" - это гонять ARPA... а в остальном он
просто дропает пакеты на неизвестный MAC, если не сказано куда их девать, ну
и не принимает пакеты от неизвестных MAC, если настроен соответствующий
параметр... так что идеи про то, что "настоящий" switch не может блокировать
MAC остаются на уровне "агентства деловой информации ОБС" и как бы плохо
понимаются в кругах читателей данного списка, наверное... ;-)
----
AE
----- Original Message -----
From: "Boris Bliznukov" <blib@mail.com>
To: "Andrew L. Davydov" <davydov@okbmei.msk.su>
Cc: <inet-admins@info.east.ru>
Sent: 28 ноября 2000 г. 15:09
Subject: Re[2]: [inet-admins] Ethernet VLANs
> Hello Andrew,
>
> Tuesday, November 28, 2000, 10:24:51 AM, you wrote:
>
> > > Ciscos have had troubles with packet leakage in strange
> >> > circumstances as well; I seem to recall something about being able
> >> > to unilaterally turn your switch port into an ISL port or something
> >> > like that.
> >> >
> >> Бред... Это не troubles, это были откровенные _баги_, которые
исправлены.
> ALD> Вы уверены, что они исправлены ? Cisco очень медленно устраняет баги,
а
> ALD> информация не такая уж и старая.
>
> ALD> Причем, пишет люди, которые являются авторитетами по защите и их
взгляд
> ALD> на свич со стороны защиты, а не со стороны вендора и цены.
>
> я уже здесь как то раз писал, что свитч это не security device. И
> приводил схему как из свитча сделать хаб посылая кучу пакетов со
> случайными МАС адресами (saturate CAM table) ... Местный народ поднял
> меня на смех ...
>
> желающие могут поискать програмку macof которая делает именно это ...
>
> еще раз свитч это не security device
>
> >> Совет на самом деле должен звучать немного иначе и это в русской
классике
> >> было: "Не гонялся бы ты поп за дешевизной" (с) А.С.Пушкин :) :)
> ALD> Я не думаю, что Cisco это дешево.
>
> к циско это не имеет никакого отношения это проблема идеологии...
>
> >> Тогда не придется приобретать "свитчи" где packet leakage считается
> >> нормальным явлением... :)
> ALD> Дык, нормальным или нет, но факт имеется.
> >> Следующей итерацией применения этого совета как раз и будет
приобретение
> >> раздельных устройств
> >> и построение защищенной сети в соответствии с нормами ее дизайна. :)
>
> ALD> Собственно, хочется найти нормальное оборудование у которого
> ALD> со стороны защиты не будет глюков в использовании VLANов,
> ALD> и хочется узнать как дела обстоят на _практике_, а не в теории.
>
> ALD> PS: Прошу извенить меня за возможный офтопик, но хочу повторить:
> ALD> Интересует реальная сторона вопроса, а не лирика из описания.
>
>
>
> --
> Best regards,
> Boris mailto:blib@mail.com
>
>
>
============================================================================
=
> "inet-admins" Internet access mailing list. Maintained by East Connection
ISP.
> Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to
quit.
> Archive is accessible on http://info.east.ru/rus/inetadm.html
>
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html