NAP

re: NAP

VladislavA — Thu, 20 Mar 2008 00:03:50 GMT

Достаточно включить в сеть какой-нибудь dumb-DHCP и весь этот NAP накроется медным тазом.

re: NAP

thaler — Fri, 21 Mar 2008 11:18:09 GMT

Сергей, правильно я понимаю ,что реально обеспечить некий достижимо серьезный уровень безопасности можно только используя 802.1х совместимые устройства и соотвественно задействовав функции этого протокола на всех сетевых устройствах, так? Потому что все эти"игры" с раздельными IP-сетками выдаными через DHCP выглядят мягко говоря не серьезно и применимым разве что в некой "весьма дружественной к администратору маленькой такой компании".

re: NAP

sergesim — Thu, 27 Mar 2008 10:24:35 GMT

VladislavA, я несколько раз повторил, что есть четыре способа enforcement, DHCP - самый простейший для демонстрации и самостоятельной проверки. Если нужно именно максимально безопасное решение (а не просто автоматическая проверки политики безопасности и обновление), то нужно использовать IPsec enforcement, который позволит построить практически непробиваемую защиту

re: NAP

sergesim — Thu, 27 Mar 2008 10:34:28 GMT

thaler, замым безопасным вариантом является использование IPsec enforcement. VLAN-ы не могут считаться совершенной защитой с т.з. разграничения сети, так как подвержены атаками MAC flooding (также рекомендую посмотреть статью Configuring Port Security у Cisco).

Естественно выбор метода enforcement зависит от вашей оценки рисков и возможностей внедрения того или иного метода.