Re: Одновременно PPoE и PPTP на 7201.

From

Sergey Nikiforov (2:5028/63.87)

To

Dark Elf

Date

2009-10-19T14:12:42Z

Area

RU.CISCO

Hi!
19 Oct 09 13:35, Dark Elf wrote to Sergey Nikiforov:

 DE>>> В пpотивном случае досточно одного умника с установленным
 DE>>> PPPoE-сеpвеpом под виндой, чтобы пеpехватить тpафик клиентов.
 SN>> Если ты думаешь, что в случае PPTP что-то существенно меняется -
 SN>> ты жестоко ошибаешься.

 DE> Поясни.

Единственный способ обеспечить "защиту" трафика в сети на неуправляемых Ethernet-коммутаторах - шифрование всех пакетов плюс взаимная аутентификация на базе сертификатов (но даже это, естественно, не спасёт от желающих просто "положить" сеть). Если этого нет - есть несколько способов "прослушки", воровства паролей, перехвата сессий (и на L3, и на L2). Читать - грамотный вредитель может не только прослушивать чужой трафик, но и пользоваться услугами за чужой счёт. И ловить его будет чертовски неудобно - в realtime отключать "подозреваемые" сегменты сети и наблюдать за результатом (если он успеет это заметить - фиг поймаешь).

Для чего по-твоему нужны Q-in-Q, per-port IP filters, sticky MACs etc?..

WBR, Sergey
--- GoldED+/W32-MSVC 1.1.5-b20060326
 * Origin: The Dark Zone (2:5028/63.87)
SEEN-BY: 46/50 450/186 1024 451/30 452/25 154 463/68 469/418 4614/20 4615/21
SEEN-BY: 5000/5000 5001/100 5001 5003/58 5004/58 5010/126 5011/13 5012/9 30 46
SEEN-BY: 5015/28 5019/26 5020/115 175 400 545 758 828 830 1042 1587 1641 1906
SEEN-BY: 5020/2140 2238 4441 5021/29 5022/128 5023/11 5025/3 5026/49 5027/12
SEEN-BY: 5028/63 5029/60 5030/115 500 830 966 1256 1900 5035/38 5042/12 13
SEEN-BY: 5045/7 5049/96 5052/4 5054/1 4 8 9 28 30 36 37 67 75 81 89 5058/42
SEEN-BY: 5058/999 5059/37 5062/10 5063/3 5070/156 5075/35 5077/70 5080/31 68
SEEN-BY: 5080/80 111 237 1003 5083/1 5084/9 5085/13 45 131 5090/108 5093/55
SEEN-BY: 5095/20 5096/18 19 6001/10 6004/3 6009/3 6055/2 6083/12 6090/1

PATH: 5028/63 5020/1641 5080/1003 5020/4441 545 5054/1 37