Патчкорд

Если злоумышленник имеет физический доступ к вашему оборудованию, считайте что он имеет полный доступ ко всему. Если переложить это на каналы связи то имеем L1 и L2 уровни, которые надо беречь как зеницу ока. Но тут добавляется сложность - магистрали, как правило, не находятся целиком в закрытых помещениях, и всегда можно найти место непосредственной доступности даже если бОльшая часть кабельной инфраструктуры висит высоко на столбах, закопана, проходит в кабель каналах - подобраться можно.

Поэтому всегда стоит помнить о непосредственных настройках безопасности на уровне L2, о чём хорошая, всё ещё актуальная, пусть и не новая серия статей на packetpushers.net (2, 3). Сюда же стоит отнести всевозможную аутентификацию и снупинг протоколов маршрутизации и других протоколов работающих на L2, не только DHCP.

Во многом, такое усложнение растёт из природы Ethernet, но игнорировать это только потому что кажется сложным не надо. Даже если подобного функционала не поддерживают устройства, что обычно не так, чаще бывает не совсем корректная работа из-за чего пользоваться становится небезопасно, стоит попробовать более универсальные способы - ACL.
Но конечно не стоит это слишком сильно переусложнять, иначе может получиться что сложность применения будет на первом месте и такой подход будет игнорироваться, только ухудшив ситуацию.

packetpushers.net

Do we really need Layer 2 Security?

I was reviewing some networking best practice documents a short while back, and when I got to the Layer 2 Security Section I started thinking… [Begin inner monologue] …. hmm… Layer 2 security, is it all hype?  Could an attacker really implement these attacks?….…

www.tgoop.com/patchcord/1004

742 viewsedited  Apr 9, 2019 at 10:21

Если злоумышленник имеет физический доступ к вашему оборудованию, считайте что он имеет полный доступ ко всему. Если переложить это на каналы связи то имеем L1 и L2 уровни, которые надо беречь как зеницу ока. Но тут добавляется сложность - магистрали, как правило, не находятся целиком в закрытых помещениях, и всегда можно найти место непосредственной доступности даже если бОльшая часть кабельной инфраструктуры висит высоко на столбах, закопана, проходит в кабель каналах - подобраться можно.

Поэтому всегда стоит помнить о непосредственных настройках безопасности на уровне L2, о чём хорошая, всё ещё актуальная, пусть и не новая серия статей на packetpushers.net (2, 3). Сюда же стоит отнести всевозможную аутентификацию и снупинг протоколов маршрутизации и других протоколов работающих на L2, не только DHCP.

Во многом, такое усложнение растёт из природы Ethernet, но игнорировать это только потому что кажется сложным не надо. Даже если подобного функционала не поддерживают устройства, что обычно не так, чаще бывает не совсем корректная работа из-за чего пользоваться становится небезопасно, стоит попробовать более универсальные способы - ACL.
Но конечно не стоит это слишком сильно переусложнять, иначе может получиться что сложность применения будет на первом месте и такой подход будет игнорироваться, только ухудшив ситуацию.

BY Патчкорд