Криптопротокол S-HTTP
Щоб уникнути цього, можна відключити на комутаторах доступу автоматичне запам'ятовування Мас-адреси і виписати всі адреси вручну, однак цей спосіб вимагає більших трудових затрат і складно реалізується в більшості мережах. Більш прийнятне рішення полягає в обмеженні кількості Мас-адрес, які можуть бути автоматично зчитані з одного порту. Для стандартного користувальницького порту, як правило, досить автоматично одержати тільки одну Мас-адресу, оскільки до одного користувальницького порту звичайно підключається один комп'ютер. Деякі комутатори підтримують могутніший засіб - обмеження автоматичного вивчення Мас-адрес з наступним занесенням їх у статистичну базу. Дана функціональна можливість дозволяє запобігати й/або контролювати несанкціоноване підключення пристроїв (наприклад, домашнього ноутбука замість робітника ПК) до мережі.
Більшість пристроїв мають два способи керування: через зовнішній порт (Сом-порт, консольний] або через внутрішню загальну мережну інфраструктуру - тобто за допомогою IP [telnet, ssh, snmp, http],- але деякі можуть мати тільки один з них. Ми не будемо розглядати некеровані пристрої, оскільки їхнє застосування (можливе в домашніх умовах) неприйнятно в корпоративному секторі з погляду як безпеки, так і надійності. З позицій безпеки переважно зовнішнє керування - саме тому, що воно відділено від загальної мережі. У деяких ситуаціях (таких як заміна ПО, помилка або збій мережної інфраструктури) є можливе лише зовнішнє керування.
Якщо все мережне устаткування перебуває в одному приміщенні в безпосередній близькості від мережного адміністратора, досить мати набір кабелів і включати їх у міру необхідності в комп'ютер адміністратора мережі. Якщо ж центри комутації розташовані на різних поверхах й/або в різних будинках, у центрах комутації необхідно встановити консольні сервери, включивши в них всі консолі встановлених у даному центрі пристроїв. У якості консольного можна використати як спеціалізований сервер, так і сервер на базі звичайного ПК із мультипортовими платами.
При наявності віддалених центрів комутації обов'язково треба настроїти аутентифікацію на консольних портах, змінивши встановлену за замовчуванням. Якщо в мережі використовується центральний сервер аутентифікації, аутентифікацію на консольних портах треба, по можливості, проводити з локальної бази паролів, оскільки при виникненні проблем у мережі не вдасться зайти на пристрій через консоль. Доступ із центра адміністрування до консольного сервера бажано організувати по фізично окремій мережі, тобто консольні сервери повинні бути включені окремим проводом в окремий комутатор, що обслуговує винятково систему керування мережею. Це дозволить уникнути втрат керування у випадку порушення роботи мережі (саме тоді, коли воно особливо необхідно). Якщо побудова окремої інфраструктури керування неможлива, консольні сервери включають через окрему віртуальну локальну мережу (VLAN) керування.При всіх перевагах і великому значенні зовнішнього керування внутрішнє керування надає комплексного керування мережею за допомогою snmp, зручного й простого візуального керування через web-інтерфейс. Для побудови безпечного внутрішнього керування необхідно максимально обмежити доступ до нього ззовні; воно повинно функціонувати у виділених VLAN й в окремому від загальної мережі IP просторі. Якщо в керуючому сегменті потрібно використовувати маршрутизатори разом із загальною мережею, то на них варто настроїти фільтрацію трафіка для блокування влучення пакетів із загальної мережі в керуючу (і навпаки), а також настроїти окремий від загального протокол маршрутизації. Якщо керовані пристрої підтримують кілька способів керування, потрібно вибрати найбільш досконалі з них, а інші заблокувати (наприклад, використовувати ssh і заборонити використання telnet; використовувати shttp і заборонити http). Сервери й робочі станції, які обслуговують керуючий сегмент, повинні працювати винятково всередині нього, тобто керуючий сегмент повинен бути повністю ізольований. Для обміну даними з виходом за межі керуючої мережі можна виділити окремий порт, включаючи його тільки при необхідності (якщо дозволяють засоби, даний порт рекомендується включати через FireWall). Але в кожному разі обмін даними повинен бути обмежений. Не варто використовувати робочу станцію з мережі керування для читання пошти або перегляду Інтернету.
Поділ мережі на підмережі дозволяє підвищити як безпеку, так і продуктивність. Як вже було вказано, чим менше можливостей по обміну інформацією між робочими станціями в мережі, тим вища її безпека. Підвищення продуктивності досягається тим, що робочі станції одержують менше широкомовного трафіка: це, з одного боку, зменшує кількість службового (широкомовного) трафіка в порті, а з іншого боку - розвантажує CPU робочих станцій, оскільки їм тепер доводиться аналізувати менше трафіка. Поділ на підмережі виконується розбивкою локальної мережі на віртуальні. Майже всі сучасні комутатори підтримують тегировані VLAN стандарту 802.1q, що дозволяє вільно використовувати в одній мережі устаткування різних виробників.
Якщо в мережі користувачі часто "переїжджають" з місця на місце, можна встановити динамічні VLAN: у цьому випадку до VLAN прив'язують не певні порти комутатора, а Мас-адреси пристроїв, що підключають. Таблиця відповідності MAC - LAN зберігається на виділеному сервері, на якому легко можна модифікувати дану базу. Динамічні VLAN - зручний інструмент, однак з погляду безпеки вони залишають бажати кращого: поміняти Мас-адресу на мережній карті - завдання не занадто складне (досить знати Мас-адресу із потрібної VLAN і мати доступ до будь-якої мережної розетки в мережі, щоб одержати доступ у цю VLAN).