Как максимально обезопасить коммутатор?

Question

[boobo]

1) какого уровня должен быть коммутатор, чтобы, например, можно было реализовать следующее:
с 1 по 5 порт устройства видели только 6 порт (но при этом устройства с не видели друг друга), а 6 порт видел все порты
2) допустим мы отсоединили устройство от порта, как можно максимально усложнить подключение нового устройства (например, защита по MAC). Какие еще есть варианты?

Comments

[aleks-th]

Судя по вашему дополнению в комментариях, что это нужно для сети домофонов в доме.

Вопрос некорректно поставлен.
Вы не на том уровне вообще пытаетесь предохранятся.

У вас в системе:
1. Есть домофон.
2. Есть терминалы клиентов.
3. Может еще что-то есть .

Нужно обеспечить безопасность этого всего, чтобы это работало, без умных коммутаторов. Иначе любой человек имеющий физический доступ, спокойно втыкнет туды хаб перенастроит все под себя, и поставит ваш коммутатор обратно.
А вы и знать не будете что там что-то произошло.

А умный коммутатор вводить уже как дополнение.

Ну а так у вас вариантов немного коммутатор 3 уровня. Под ваши задачи вполне подойдет.

Answer 1

[Melkij]

1) какого уровня должен быть коммутатор, чтобы, например, можно было реализовать следующее:
с 1 по 5 порт устройства видели только 6 порт (но при этом устройства с не видели друг друга), а 6 порт видел все порты

Обычно это достигается разделением на vlan'ы
Коммутатор, соответственно, должен быть как минимум управляемым. А вот дальше уточнять в документации.

2) допустим мы отсоединили устройство от порта, как можно максимально усложнить подключение нового устройства

802.1X

Answer 2

[Everything_is_bad]

2. например, закрыть сетевое оборудование на ключ

Comments

[boobo]

а кто мешает отрезать провод, обжать заново и все.

[Everything_is_bad]

boobo, а что мешает эмулировать MAC? ну и озвучить тогда все условия в которых находится сетевое оборудование.

[boobo]

Everything_is_bad, это тоже можно. Поэтому хочу собрать все возможные варианты по защите сети. Допустим в каждую квартиру заходит витая пара, как можно обезопасить сеть от собственника квартиры, с учетом того, что каждый монитор собственника общается по сети с центральным домофоном

[Ziptar]

boobo, от чего обезапашивать то? Что там такого собственник квартиры сделать может?

[Everything_is_bad]

boobo, в вопрос эти условия добавить

[aleks-th]

boobo, вы боитесь что собственник будет майнить на домофонах ))))

[Кот Абсолютный]

boobo, Чего-чего? Что за странности я сейчас прочитал? Какой монитор, какой центральный домофон? Я похоже просто чего-то не понимаю...

[pfg21]

boobo, если это сеть по обслуживанию домофонов то нахрен там чтото либо другое ??
каждое соединение маркировать vlan на портe и связь только с сервером. и больше ничего в сети нет. даже если какой либо хаккир влезет в сию сеть он там ничего не найдет, кроме сервера.

[Akina]

pfg21,

каждое соединение маркировать vlan на портe

Господи, вилан-то тут зачем? оборудование вполне нормально идентифицируется по МАС, изоляцию клиентских портов обеспечит сегментация - зачем тут лишняя сущность? К тому же это дополнительный геморрой на сервере - необходимость работать с тегованным трафиком и наплодить кучу подсетей,- без совершенно никакого профита.

Answer 3

[Akina]

Всё описанное вполне себе выполняется на уровне L2 - так что коммутатор должен быть управляемым. MAC-based filtering поддерживают практически все управляемые коммутаторы (правда, некоторые - только в форме MAC-based VLAN), а traffic segmentation - ну подавляющее большинство. Ну и ещё не забыть побороться с MAC flood, что тоже умеют практически все управляемые коммутаторы,

PS. И да - если у злоумышленника есть физический доступ к устройству, никакие технологии вам не помогут.

Comments

[Кот Абсолютный]

Согласен, но тут нужно одно слово добавить - неконтролируемый физический. То есть, если есть возможность к нему консолью подрубиться, перегрузить, скинуть - и это никто не заметит...

[Akina]

Кот Абсолютный,

тут нужно одно слово добавить - неконтролируемый физический

Ну "контролируемый физический доступ злоумышленника" - я себе даже представить не могу, что это такое... :)

[Кот Абсолютный]

Akina, Ну например незапертый настенный шкафчик в углу помещения, через которое ходит множество народу - столовая конторская например. Можно улучить момент, сделать морду кирпичом, подойти и быстренько что-то передернуть, но что-то долговременное провернуть - непременно заметят.

[Akina]

Кот Абсолютный, ну то есть вопрос терминологии. Я лично считаю описанный сценарий неконтролируемым доступом. А незапертый шкаф с критичным оборудованием в месте общего пользования без даже элементарно видеоконтроля, не говоря уж о датчике вскрытия - обычным бардаком и безалаберностью.

Answer 4

[Zerg89]

Управление в отдельный vlan на отдельном физическом порте, ну и как писали выше в ящик, кроме вас дубликат ключа только у директора или его доверенного лица, за которого этот самый дирехтор готов будет ответить если что пойдет не так
По втрому вопросу ttl=1 это исключит возвожность включить внешнее оборудование "для обывателей"
Спецу это не помеха на ровне с заменой мака

Answer 5

[AntHTML]

В видеонаблюдении и провайдерских сетях такие схемы давно используются.
Нужен, минимум, настраиваемый vlan-based коммутатор (это который с физическим переключателем default-vlan1..8) по количеству клиентов. И самый дешевый микротик, даже б/у 951 пойдет, на котором настраивается фильтрация

Answer 6

[Mors Clamor]

Port isolation, port security смотрите в спецификации чтобы были

Comments

[Akina]

Port isolation - это уже скорее фича у роутеров, а L3 в описанной задаче явно избыточен.

[Mors Clamor]

Akina, давно у нас порты на L3 живут?

[Akina]

Mors Clamor, роутер - это L3.
Хотя не исключаю терминологической проблемы. Смешивания терминов port isolation и traffic segmentation.

[Mors Clamor]

Akina, бро проспись пж, какой роутер, о коммутаторе речь

[hrabrahrabr]

Akina, port isolation это фишка л2 уровня. У разных вендоров реализуется по разному , у элтекс например можно указать каждому абонентскому порту список доверенных аплинков или других портов. Трафик аппаратно режется даже на броадкаст домене, у нортела 20 лет назад можно было настроить несимметричные аланы. С той же целью. Сейчас НЯП, это называется port based vlan.
Эр-теле давно заказывал у dlink неуправляемые свичи на 8 портов , где на аппаратном уровне зарезан трафик между 7 абонентами разрешен только аплинк.

[Akina]

@hrabrahrabr

port isolation это фишка л2 уровня ... У разных вендоров реализуется по разному

У разных вендоров одна и та же фича называется по-разному, и наоборот, разные фичи называются одинаково. Проблема терминологии.

Port isolation в подавляющем большинстве (но, увы, не в 100%) случаев именно ограничение портов, на которые выполняется форвардинг трафика конкретного порта. Да, это именно L2.

off

Забавно, но лично я познакомился с этим термином именно на примере роутера, у которого это была L3-фича. И тогда я угрохал много времени, чтобы понять, почему вроде всё настроено правильно, а не работает. Оказалось, всё описанное у роутера относилось только к TCP/UDP/ICMP - то есть на самом деле сейчас я понимаю, что это оказались просто скрытые правила файрвола.

Сейчас НЯП, это называется port based vlan.

Однозначно нет