Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Защита портов

Рубрика: Безопасность -> Топология сети
Метки: |
Понедельник, 2 февраля 2009 г.
Просмотров: 6370

Очень многие коммутаторы среднего и высокого уровней обладают специальной функцией - безопасность портов, так называемый port security. Эта функция позволяет предотвратить подделку МАС-адреса. Она дает администратору возможность вручную определить МАС-ад-рес устройства, подключенного к данному порту.


     Если к этому порту будет подключено устройство с MAC-адресом, отличным от заданного, порт будет отключен. На коммутаторах такого класса есть функция динамического определения адреса подключенного устройства. Она срабатывает один раз: при подключении к порту, автоматически определяется MAC-адрес устройства и запоминается в памяти коммутатора. Если подключить другое устройство, с другим MAC-адресом, то порт будет отключен.

     Защита портов - безусловно, полезная функция, но она имеет и ряд недостатков. Усложняется администрирование сети, ведь при подключении другого компьютера к порту, ранее использовавшемуся, придется заново изменить конфигурацию коммутатора. Приходится выбирать между безопасностью и удобством администрирования сети.

     Еще одна проблема возникает при использовании коммутатора в качестве магистрального, к портам которого подключены концентраторы. В этом случае через порт могут проходить данные от разных MAC-адресов. Функция защиты портов просто заблокирует все порты, к которым подключены хабы.

Функция защиты портов очень хороша, но она не может полностью решить проблему подмены MAC-адреса. Очень многие операционные системы (в том числе и Linux) позволяют администратору динамически менять MAC-адрес сетевого адаптера. Можно изменить MAC-адрес устройства и подключить его к порту, к которому уже было подключено устройство с таким MAC-адресом. Таким образом, крекер может перехватывать данные, несмотря на защиту портов коммутатора.