[Greyman]

kim-aa
Небольшое уточнение:
1) пп.2,3 становятся неактуальными, если применяется ARP-спуфинг. А его блокировка или хотя бы мониторинг используются не так уж и часто, как следовало было бы.

2) VLAN сейчас можно сильно доверять только при статическом их постраении (по портам, или хотя бы MAC-адресам при запрете ARP-спуфинга). VLAN на 802.1q может обходиться c использованием методов, сходных со спуфингом. Также как и против ARP-спуфинга для этого есть методы борьбы, но конечно это все чревато удоражанием системы и потерей частью ее призводительности.

Ikpeba
Что ты вкладываешь в понятие "передаются по ней конфеденциальные данные"? Что именно и каким образом передается? Проблему сниффинга в большинстве случаев снимает использование VPN-технологий, но для этого не нужно специальных технических средств, а достаточно соответствующих настроек и ПО клиентак и серверах...

[UnReLeAsEd]

Ikpeba

Цитата:

можно и ведь и MAC поменять...

Можно сделать так что бы порт поднимался админом... А вот kim-aa дело говорит...
У нас на предприятии вообше кроме пользователя не может никто сесть за комп, если там увидят левого человека то пользователь идёт к шефу на ковёр....

[kim-aa]

To Greyman

Цитата:

VLAN на 802.1q может обходиться c использованием методов, сходных со спуфингом.

Нельзя ли поподробнее?
Или ссылочку?

[Greyman]

kim-aa

Цитата:

Нельзя ли поподробнее? Или ссылочку?

Увы нет. Я по профессиональной деятельности стараюсь быть в курсе подобного, поэтому шестю кучу материалов, но подробнее мне в этом разбираться нет необходимости, т. к. практическим администрированием я не занимаюсь (в первую очередь меня интересуют принципиальные угрозы и концепции защиты). Вроде где-то проскакивали ссылки на соответствующие доклады на разных семинарах. Возможно можно где по инету найти, щас нет времени копаться. Это к вопросу о том, как два коммутатора определяют принадлежность пакета к тому или иному VLAN, ведь эта принадлежность определяется только соответствующим тегом. Поэтому можно включить вместо машины управляемый кооммутатор, который настроить соответствующим образом, либо юниксовую машину с соответствющим ПО. Конечно "валидные" коммутаторы могут быть настроены на запрет приема 802.1q с портов, кроме заданных, но это уже дополнительные ограничения на их модели и настройки, а вот "дефолтно" подобная возможность может иметь место...

[kim-aa]

Фирменная технология VLAN Cisco - ISL осуществляет инкапсуляцию фреймов
802.1q - тегирование. Так что прослушивая свой порт работающий в 802.1q можно единственное узнать к какой VLAN ты относишься.
Однако ума не приложу что это даст.
Если отмаркировать свой фреймы VLAN отличной от реальной, то в лучшем случае коммутатор отбросит фреймы прямо на входе порта, в худшем же может принять решение о возникновении логических петель и отключить коммутатор целиком - но это вряд ли.
В коммутаторах Cisco ситуация по умолчанию такова (описание грубое, опускаю состояния портов off и desirable)
Порт находится в обычном состоянии, т.е. пропускает только те входящие фреймы, которые маркированы той же VLAN, к которой относится и он, или немаркированные (он их маркирует сам). Для перевода его в магистральное состояние (он пропускает все VLAN) - необходимы определенные деяния, или руками в IOS, или если порт находится в состоянии Auto или Desirable - Подключение к другому коммутатору у которого порты принудительно переведены в магистральное состояние или находятся в состоянии Desirable.

[Bugs]

Ikpeba
Существет целая куча программных и аппартных решений способных решить эти проблемы.
Приведу лишь некотроые из них:
1) Использование VPN соединения - весь трафик идёт в зашифрованном виде, т.е. перехват снифером даёт зашифрованные данные.
Если применяется правильный алгоритм шифрования, то вскрытие шифра занимает столько времени, что к когда расшифровка пройдёт успешно данные уже будт бесполезны. Есть как бесплатные решения PPTP, IPSec так и платные например VipNet. При чём в качестве идентификатора доступа к шифрованному каналу можно делать и аппаратные устройства как то смарт-карты, ключи таблетки и т.д.

2) Многие программы умеют сами шифровать свои данные при передаче

3) Применение активных методов защиты, как то поиск сниферов в стеи и т.д.