Как максимально обезопасить коммутатор?

Question

[boobo]

Здравствуйте,
1) какого уровня должен быть коммутатор, чтобы, например, можно было реализовать следующее:
с 1 по 5 порт устройства видели только 6 порт (но при этом устройства с не видели друг друга), а 6 порт видел все порты
2) допустим мы отсоединили устройство от порта, как можно максимально усложнить подключение нового устройства (например, защита по MAC). Какие еще есть варианты?

Comments

[aleks-th]

Судя по вашему дополнению в комментариях, что это нужно для сети домофонов в доме.

Вопрос некорректно поставлен.
Вы не на том уровне вообще пытаетесь предохранятся.

У вас в системе:
1. Есть домофон.
2. Есть терминалы клиентов.
3. Может еще что-то есть .

Нужно обеспечить безопасность этого всего, чтобы это работало, без умных коммутаторов. Иначе любой человек имеющий физический доступ, спокойно втыкнет туды хаб перенастроит все под себя, и поставит ваш коммутатор обратно.
А вы и знать не будете что там что-то произошло.

А умный коммутатор вводить уже как дополнение.

Ну а так у вас вариантов немного коммутатор 3 уровня. Под ваши задачи вполне подойдет.

Answer 1

[Melkij]

1) какого уровня должен быть коммутатор, чтобы, например, можно было реализовать следующее:
с 1 по 5 порт устройства видели только 6 порт (но при этом устройства с не видели друг друга), а 6 порт видел все порты

Обычно это достигается разделением на vlan'ы
Коммутатор, соответственно, должен быть как минимум управляемым. А вот дальше уточнять в документации.

2) допустим мы отсоединили устройство от порта, как можно максимально усложнить подключение нового устройства

802.1X

Answer 2

[Everything_is_bad]

2. например, закрыть сетевое оборудование на ключ

Comments

[boobo]

а кто мешает отрезать провод, обжать заново и все.

[Everything_is_bad]

boobo, а что мешает эмулировать MAC? ну и озвучить тогда все условия в которых находится сетевое оборудование.

[boobo]

Everything_is_bad, это тоже можно. Поэтому хочу собрать все возможные варианты по защите сети. Допустим в каждую квартиру заходит витая пара, как можно обезопасить сеть от собственника квартиры, с учетом того, что каждый монитор собственника общается по сети с центральным домофоном

[Ziptar]

boobo, от чего обезапашивать то? Что там такого собственник квартиры сделать может?

[Everything_is_bad]

boobo, в вопрос эти условия добавить

[aleks-th]

boobo, вы боитесь что собственник будет майнить на домофонах ))))

Answer 3

[Akina]

Всё описанное вполне себе выполняется на уровне L2 - так что коммутатор должен быть управляемым. MAC-based filtering поддерживают практически все управляемые коммутаторы (правда, некоторые - только в форме MAC-based VLAN), а traffic segmentation - ну подавляющее большинство.

PS. И да - если у злоумышленника есть физический доступ к устройству, никакие технологии вам не помогут.