Leonid KudryavtsevСлышал как народ матюгался, пытаясь в западной конторе роутер с поддержкой КриптоПро купить. Модель которую забили в договор, западная контора уже не поставляет (хоть в прайсе значилось), т.к. устарело, за "бесплатно" готова на более новую модель махнуть. А новую еще КриптоПро не поддерживает и нафиг она без ГОСТ шифрования не нужна ))) Х.з. чем дело кончилосьа ИнформЗащита перестали их что-ли производить? раньше на их шлюзы был полный комплект документов из ФАПСИ, ФСТЭК, ФСБ, естественно с поддержкой ГОСТ

loginovruда это хорошо, когда используются современные свитчи там где есть таблица ARP, а в старых свитчах вообще такой таблицы нету, оно рассылает пакеты по всей локальной сети...ARP-таблица никакого отношения к тому на все порты шлется пакет или нет не имеет вообще никакого отношения. По всей видимости все же имелась ввиду таблица коммутации.
А вообще я уже сколько раз настоятельно советовал детально ознакомиться с моделью OSI, почитать книги основы постоения сетей Cisco. Может быть подобных перлов было би и меньше.

Dimitry SibiryakovДа, за десять лет моего администрирования сети из ста компьютеров в ней не произошло ни
одного инцидента, который можно было бы предотвратить шифрованием внутреннего траффика.Кстати за за 10 лет и моего администрирования в сетях от 30 ПК до 10000+ ПК таких инцидентов тоже не было. Хотя учитывая что доводилось работать и в Федеральном казначействе и банке (где финансовые ответсвенности проблем не на один порядок больше чем в сети ТС на 15 ПК), то часть вещей все-таки шифровалась. Но это было обусловлено требованиями регуляторов, в основном Центробанка.

loginovruSergey OrlovДа совершенно забыл упомянуть, что по опыту, большинство паролей утекают либо по доброте душевной либо через бумажку на мониторе...
вот сразу видно человек не работал в госструктурах ))) я работал и подтверждаю, что бумажки с паролями на мониторах и неосознание ценности паролей рядом сотрудников, которые его в легкую тебе сообщат даже когда не просишь, являются более серьезными рисками нежели всякие сниферы

loginovruнеТолик1, мало того, что можно подделать МАК адрес, и получить авторизацию ко всем ресурсам не вообще никакие пароли...для предотвращения подобного уже давно придуман 802.1X

loginovrubga83ARP-таблица никакого отношения к тому на все порты шлется пакет или нет не имеет вообще никакого отношения. По всей видимости все же имелась ввиду таблица коммутации.
А вообще я уже сколько раз настоятельно советовал детально ознакомиться с моделью OSI, почитать книги основы постоения сетей Cisco. Может быть подобных перлов было би и меньше.
как раз по таблице ARP, switch вычислят какому предназначен данный пакет.. dest ip, чтобы не рассылать этот пакет всем.. ))) А что за таблица коммутации в обычном свитче - первый раз такое слышу.. расскажи подробнее ))

P.S. и не надо мне рассказывать почитать основу сетей, я прекрасно знаю - как и по какому принципу работает сеть!
ты бы хоть столь явно своей безграмотностью не хвастался, потому как ты многое о чем в ИТ вообще не слышал.
Хочешь подробнее пожалуйста: на L2, где собственно и работает свич, в адресации участвуют исключительно мас-адреса. Так вот свич составляет коммутационную таблицу(как именно это происходит, если интересно сам найдешь) в которой хранится соответствие мас-адресов и портов, то есть информация о тот на каком порту свича какие мас-адреса доступны. И при поступлении пакета, свич анализирует мас-адрес получателя, ищет его в этой таблице и отправляет на соответсвующий порт. Теперь что такое ARP-талдица. Это таблица соответсвия IP-адресов и мас-адресов. Внимание вопрос: где в описанном мной механизме работы L2 -свича необходима эта информация? - правильно, нигде. Потому как ARP нужна на L3, а это уже формально не свичи а роутеры.

loginovruDimitry Sibiryakov, более того добавлю, при попадании трояна как ты говорил на какой-то из компьютер, этот троян сможет выключить всю сеть, путем MAC spoofing, то есть мало того что компьютер протроянен так еще и сеть ляжет вся полностью, в шифрованных сетях при правильно построенной безопасноти такое не прокатит!вирусам совершенно пофиг на то шифрованная сеть или нет, они используют сетевой стек ОС
loginovruтак вот в банке как раз используются разные виды шифрований и аппаратный в том числе, для шифрования траффика между структурными подразделениями, локальная сеть тоже шифруется...нет, шифруется только то что попадает под требования регуляторов(во всяком случае в тех банках, где работал я и сейчас работают знакомые)

loginovru,
все описанное выше это лирика. По сути если хочешь построить безопасную сеть начинать надо с другого. Во первых определиться какого рода информация у тебя хранится и обрабатывается, насколько она критична с точки зрения утечки, утери(судя по написанному тобй в этом топике, ничего особо важного нет, разве что база 1С с зп). Далее стоит опоределиться какие риски существуют. Тут надо иметь ввиду, что информационная безопасность это комплексный вопрос, касающийся не только ИТ-решений, но и вопросов ограничения физического доступа к носителям информации, пажарной безорпасности в помещениях хранения/обработки информации, соблюдение температурного/влажностного климата в серверной. Надо понимать, что все будет определяться самым слабым звеном. Если как ты говорил, у тебя ночью можно с оборудованием делать все что угодно, то никакое шифрование трафика не спасет тебя от того что кто-то ночью просто вынет винт из сервера и унесет с собой или просто копию снимет и обратно вернет. причем во втором случае ты все свалишь на перебой с электричеством и даже не будет подозревать, что данные утекли.
Что именно я бы реально сделал сделал в твоей сети:
- поставил управляемый свич, у тех же цисок есть вполне бюджетные варианты наподобие этого
- выделенный виндовый сервер с AD, DHCP, файловой помойкой(корректно выдать права)
- отдельный шлюз на FreeBSD/Linux. В теории можно и циску 800-й серии, но они будут менее гибкими с точки зрения того, что на программном шлюзе можно настроить прокси с различными политиками фильтрации, поднять свой почтарь на бесплатном ПО, и тд и тп
- пользовательские учетки лишь административных прав. Самому кстати тоже сидеть под рядовой учеткой, а админскими пользоваться исключительно при необходимости
- антивирус на все
- ВСЕ ЛИЦЕНЗИРОВАТЬ , при ограниченных бюджетах вместо ломанного платного софта ставить бесплатные аналоги(те open и libre офисы)
- на серверах в обязательно порядке иметь рейд, настроить бекапы (естественно на другое железо), обязать пользователей важную информацию хранить на сервере
- на все вести документацию: назначение VLAN-ов, статических IP, прохождение трасс СКС, таблицы физической коммутации, контакты подрядчиков(интернет, телефония, поставщики оборудования, гарантийные контакты и тд), плюс составить пользовательские инструкции для ряда основных проблем
- ИБП как минимум для серверов с настройкой автоматического гашения серверов.
- размещение серверного и коммутационного оборудования или в отдельном помещении с ограниченным доступом и достаточным кондиционированием, либо в крайнем случае в общедоступном месте, но в запертом шкафу.

Все. Почему именно так? Да потому что основной задачей в мелких сетях является обеспечить именно стабильную работу без существенных даунтаймов, вызванных кривыми руками пользователей, вирусов(включая шифровальщиков), обусловленные кривыми руками местного админа, который как правило в мелких сетях имеет крайне низкую квалификацию. Основная идея: будет порядок в сети 0 будет меньше проблем.


PS сорри уже за офтоп, но мне просто интересно loginovru это реально такой непробиваемый неуч-параноик ли он просто постоянно троллит нас всех в этом и соседнем разделе?