Tudod, az IP telefonok egyik jellemzője, hogy a teljes forgalom nem feltétlen megy át a központon.
Tehát változatlanul: Rögzítheted Asteriskből is, vagy bárhonnan, ahol hozzáférsz a forgalomhoz. Triviális, hogy ha nem megy el a hívás az Asteriskig, akkor ott nem férsz hozzá a forgalomból. Szavak kiforgatását csinálod épp, nagyjából Zeller Mérnök Úr módra.
a switch port mirroring egy támadási faktor, ami ellen védekezni kell
De nem feltétlenül alkalmazási rétegben.
Igen, ennek a támadási vektornak is vannak előfeltételei.
Amik jelen esetben nem adottak.
Én értem, amit írsz.
Ennek örülök, de csakazértis ideerőlteted a világ összes támadási vektorát és a túltitkosítási idealizmusát.
Másrészt 2024-t írunk, nem 2004-t.
Mindkettő csak egy évszám. Divatból, trendből, évszámbuziskodásból nem titkosítunk, mert az túltitkosítás (bloat).
Továbbá a védelmet hagymaszerűen érdemes felépíteni. Céges környezetben nem tudni, hogy hol milyen védelmek aktívak, milyeneket törtek már meg (csak nem tud róla az illetékes).
Helyesen: nagyvállalati környezetben.
Adott egy cég 2 épülettel egymás mellett, összekötve optikával. L2-ben itt célszerű bekapcsolni a MACSec-t, ezzel védve a 2 épület közötti forgalmat illetéktelenektől - habár az optikai kábel észrevétlenül lehallgathatatlan elviekben.
Tehát a MACSec túltitkosítás. Ugyanakkor, ha ezt hardver valósidőben megcsinálja és nem okoz semmilyen lassulást vagy fogyasztásnövekedést az eszköznek, akkor akár érdemes is lehet bekapcsolni. Az alkalmazásréteg túltitkosítására, amiről OP érdeklődött, ez messze nem igaz. Mindenféle overhead-eket rátesz a titkosítás.
Biztosítanod kell, hogy a switchre csak a megfelelő kliensek kapcsolódhassanak L2-ben. Nem akarsz port security-val küzdeni - ami mellesleg átverhető, nem ad valós védelmet. Fogod, bevezeted a 802.1x-t EAP alapon. Ez csak authentikáció, nem pedig titkosítás!
Így igaz. Vagyis, nem tartozik a témához. Tehát offolsz.
Távoli klienseknek kell biztosítanod a céges erőforrások elérést. Jéé, erre találták ki a VPN-t. Ez már ad authentikációt, titkosítást is.
Szintén nem tartozik a témához. Megint offolsz.
Hajbi, néha egyetértek veled. Csak gyakran túltolod a butaságot.
Általában én is egyetértek veled. Nem mondtam butaságot. Azt mondtam, hogy LAN hálózatban nincs értelme az alkalmazási réteget túltitkosítani, mert bloat.
Na meg kérlek, IT securityval ne foglalkozz.
IT vezetőként foglalkoznom kell vele. :)
Láthatóan nem értesz hozzá.
Láthatóan a másik leminősítésével, szavak kiforgatásával, offolással szeretnél vitát nyerni.
Még. Tanulj, fejlődj, képezd magad. 😉
Mindig tanulok és fejlődöm. Tudod, ezt Windows XP-ről is lehet, nem csak béta stabilitású Fedoráról, meg Windows 11-ről. :P