Государственный комитет по размещению государственных заказов республики хакасия

Вид материала

Документация об аукционе

Содержание Функционал DHCP Управление таблицей MAC-адресов Подавление атак (attack mitigation) Dhcpoffer, dhcpack, dhcpnak, dhcppleasequery IEEE 802.1x Port-Based Authentication Контроль трафика портом

Подобный материал:

• Государственный комитет по размещению государственных заказов республики хакасия извещение, 327.23kb.
• Уг в целях осуществления предусмотренных законодательством Российской Федерации полномочий, 531.03kb.
• Приглашение, 443.9kb.
• Республики Хакасия председатель правительства Республики Хакасия В. Зимин в своем доклад, 35.9kb.
• Республики Хакасия Председатель Правительства Республики Хакасия В. Зимин Приложение, 2553.59kb.
• Вдополнение к письму от 13., 15.33kb.
• Правительство республики хакасия постановление от 8 июня 1998 г. N 97 о комиссии, 63.48kb.
• Ли и условия предоставления в 2012 году государственной поддержки на развитие агропромышленного, 1408.44kb.
• Государственным и муниципальным, 53.96kb.
• Правительству Республики Хакасия на период действия указанной Программы осуществлять, 690.84kb.

Функционал DHCP:

Встроенный DHCP-сервер. Автоматическое периодическое получение/сохранение текстовой таблицы выданных адресов в удалённой файловой системе по протоколам FTP, TFTP, rcp. Исключение диапазонов адресов из доступных для выдачи. Административная настройка соответствия MAC- и IP-адресов. Проверка посредством ping и протоколирование занятости адреса перед выдачей. Настройка параметров DHCP:

• Default boot image name
  
• Default routers
  
• Domain Name System (DNS) servers
  
• Decide on a DNS domain name.
  
• NetBIOS name server
  
• Decide on a NetBIOS node type (b, p, m, h)
  

Включение DHCP Option 82 в DHCP-пакеты от пользователя к DHCP-серверу. Верификация и удаление DHCP Option 82 из DHCP-пакетов от DHCP-сервера к пользователю. Параметр Remote-ID содержит MAC-адрес коммутатора или административно настраиваемую текстовую строку. Параметр Circuit-ID содержит идентификатор пользовательского порта в формате vlan-module-port или административно настраиваемую текстовую строку.

1. Управление таблицей MAC-адресов:

• Динамическое обучение MAC-адресам подключенных сетевых устройств. Индивидуальное обучение по каждому VLAN-у на. Настройка времени удаления MAC-адресов неактивных устройств.
  
• Статическая настройка MAC-адресов (unicast и multicast) подключенных к портам сетевых устройств с сохранением в конфигурационном файле коммутатора. Индивидуальная настройка по каждому VLAN-у каждого порта.
  
• Статическая настройка «чёрного списка» MAC-адресов (unicast) индивидуально по каждому VLAN-у, фильтрация фреймов от этих источников и к этим адресатам.
  
• Протоколирование событий обучения и удаления MAC-адресов по избранным портам коммутатора. Запись событий в локальный журнал, генерация сообщения SNMP с настраиваемой периодичностью и агрегированием нескольких событий в одном сообщении для сокращения загрузки сети.
  

1. Подавление атак (attack mitigation)

• Наблюдение за обменом DHCP-пакетами на портах пользователей, ведение таблицы соответствия (binding table) MAC-адреса, IP-адреса, времени годности адреса (lease time), номера VLAN-а и порта коммутатора. Выявление и фильтрация отправленных пользователем DHCP-пакетов:
  
• с отличающимися MAC-адресом и DHCP chaddr;
  
• DHCPOFFER, DHCPACK, DHCPNAK, DHCPPLEASEQUERY;
  
• DHCPRELEASE, DHCPDECLINE в режиме широковещания, если они получены иным портом коммутатора, нежели указанным в соответствующей MAC-адресу источника записи таблицы соответствия.
  
• Агент DHCP Relay нормально передаёт DHCP-пакеты с указанным в них IP-адресом Relay Agent, отличным от 0.0.0.0. Агент DHCP Relay нормально передаёт DHCP-пакеты, содержащие DHCP Option 82, на пользовательские порты.
  
• Автоматическое периодическое сохранение в пакетном режиме таблицы соответствия в текстовом файле с защитой записей контрольными суммами в локальной и удалённой файловых системах, по протоколам FTP, TFTP, HTTP, rcp.
  
• Предотвращение спуфинга MAC- и IP-адресов путём фильтрации некорректных пакетов на пользовательских портах и VLAN-транках. Выявление некорректных пакетов на основе таблицы соответствия от мониторинга DHCP-пакетов или административной настройки.
  

1. IEEE 802.1x Port-Based Authentication

• Централизованная (с участием RADIUS-сервера) аутентификация и авторизация пользователей и сетевых устройств (далее – обобщённо пользователей) на портах доступа посредством IEEE 802.1x. Фильтрация всего входящего/исходящего трафика, кроме 802.1x EAPOL, STP, CDP, до успешной аутентификации и авторизации.
  
• Управление состоянием порта доступа:
  
• безусловно авторизован (состояние по умолчанию) – аутентификация 802.1x отключена, обмена сообщениями 802.1x не происходит, нет фильтрации входящего/исходящего трафика;
  
• безусловно неавторизован – аутентификация 802.1x отключена, обмена сообщениями 802.1x не происходит, фильтруется весь входящий/исходящий трафик, кроме 802.1x EAPOL, STP, CDP;
  
• автоматический режим – аутентификация 802.1x включена, после успешной авторизации отключается фильтрация входящего/исходящего трафика для обеспечения нормальной работы пользователя, в случае неудачной авторизации возможно её возобновлении по инициативе пользователя или коммутатора.
  

1. Контроль трафика портом

• Выявление входящего трафика типов IP unicast, broadcast, multicast аномальной интенсивности. Индивидуальная установка порогов интенсивности трафика (нарастание и убывание с гистерезисом) для каждого порта и типа трафика. Генерация предупреждающего SNMP-сообщения либо полная фильтрация пакетов каждого типа при нарастании интенсивности до порога фильтрации, возобновление нормальной передачи пакетов при уменьшении интенсивности до порога возобновления.
  
• Фильтрация исходящего трафика типов IP unicast и multicast, адресованного неизвестным коммутатору MAC-адресам (unknown destination MAC flooding). Индивидуальная настройка по типам трафика, по портам коммутатора, по агрегированным канальным группам 802.3ad.
  
• Настройка защищённых портов в пределах одного VLAN-а, обмен пакетами между которыми возможен лишь через маршрутизатор, фильтрация любого трафика unicast, broadcast, multicast между защищёнными портами, нормальная передача трафика между защищёнными и обычными портами одного VLAN-а.
  
• Ограничение MAC-адресов источников, разрешённых на порту коммутатора (статический порт доступа, VLAN-транк, 802.1Q-туннель), по количеству и/или значениям MAC-адреса. Для портов, обслуживающих одновременно несколько VLAN-ов, возможность ограничения по каждому VLAN-у в отдельности.