home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / bit / listserv / biglan / 71 < prev    next >
Encoding:
Text File  |  1992-09-07  |  11.4 KB  |  268 lines
  1. Comments: Gated by NETNEWS@AUVM.AMERICAN.EDU
  2. Path: sparky!uunet!uvaarpa!darwin.sura.net!paladin.american.edu!auvm!SUVM.BITNET!BIG-REQ
  3. Message-ID: <BIG-LAN%92090415031835@SUVM.SYR.EDU>
  4. Newsgroups: bit.listserv.big-lan
  5. Approved: NETNEWS@AUVM.AMERICAN.EDU
  6. Date:         Fri, 4 Sep 1992 14:55:52 EDT
  7. Sender:       Campus-Size LAN Discussion Group <BIG-LAN@SUVM.BITNET>
  8. From:         BIG-REQ@SUVM.BITNET
  9. Subject:      BIG-LAN Digest, Volume 4, Number 58, Friday, September 4, 1992
  10. Lines: 256
  11.  
  12. BIG-LAN DIGEST           Friday, 4 September 1992      Volume 4 : Issue 58
  13.  
  14. Today's Topics:
  15.  
  16.                            Re: hubs that filter
  17.                        Re: CAMPUS ETHERNET CRASHES
  18.                      Re: 10baseT hubs with filtering
  19.                           Re: Multi-Port Bridges
  20.                       Re: experience/security issues
  21.  
  22. Moderated by John Wobus, Syracuse University
  23.  
  24. Relevant addresses:
  25.                                   Internet                BITNET
  26. Submissions:              big-lan@suvm.acs.syr.edu     BIG-LAN@SUVM
  27. Subscriptions:    big-lan-request@suvm.acs.syr.edu     BIG-REQ@SUVM
  28. LISTSERV/Archives:       listserv@suvm.acs.syr.edu    LISTSERV@SUVM
  29. Moderator:                jmwobus@syr.edu              JMWOBUS@SYREDU
  30. Anonymous ftp archives:           syr.edu
  31.  
  32. Note: BIG-LAN is redistributed through many mailing lists at other sites
  33. run by other individuals.  If you subscribe(d) through such a
  34. "redistribution" list, you will need to remember its owner.
  35.  
  36. syr.edu also has a copy of the BIG-LAN "FAQ" memo (answers to frequently
  37. asked questions) under the path information/big-lan/big-lan.faq
  38.  
  39. ----------------------------------------------------------------------
  40.  
  41. Date: Wed, 2 Sep 92 09:58:59 -0400
  42. From: jbvb@ftp.com  (James B. Van Bokkelen)
  43. Reply-To: jbvb-tech@ftp.com
  44. Subject:      Re: hubs that filter
  45.  
  46.     The method varies a little from vendor to vendor, but the hub essentially
  47.     learns or is told what ethernet Mac addresses are down each port and
  48.     scrambles the data portion of those packets not destined for that Mac
  49.     address.
  50.  
  51. If it "learns", then it's dependent on the interface sending something.
  52. If the interface doesn't send anything (most LAN monitors don't by default),
  53. then it can either send nothing (which means that you can't just connect
  54. a random special-purpose server to a port and have it work), or everything
  55. (which defeats the purpose).
  56.  
  57. If it is "told", then you have a maintenance nightmare, particularly in
  58. the case of machines which run different protocols at different times
  59. (and thus whose MAC addresses may vary).
  60.  
  61. James B. VanBokkelen        2 High St., North Andover, MA  01845
  62. FTP Software Inc.        voice: (508) 685-4000  fax: (508) 794-4488
  63.  
  64. -------------------------------------------------------
  65.  
  66. Date: Wed, 2 Sep 1992 11:39 EDT
  67. From: SYSTEM@LNS62.TN.CORNELL.EDU
  68. Subject:      Re: CAMPUS ETHERNET CRASHES
  69.  
  70. Wayne,
  71.  
  72. I have seen at least four different causes of dropped LAT sessions:
  73.  
  74. 1. Trying to use a multiuser VAX/VMS system as a DECnet router.
  75.  
  76. When there is an error in the middle of a routing table update,
  77. the VMS routing software issues a hardware reset command to the
  78. ethernet interface. This causes all sessions that have I/O in progress
  79. to be dropped. DEC is well aware of this problem.
  80.  
  81. Fix: Move all DECnet routing to relatively unused systems
  82. or invest in dedicated routers.
  83.  
  84. 2. Having more LAT hosts than the the LAT terminal server can handle.
  85.  
  86. Older LAT terminal servers have limited storage for their host tables.
  87. When a new LAT service becomes visible, the server will drop some other
  88. random service, even if it has active sessions.
  89.  
  90. Fix: Use service classes to limit the hosts served by specific servers,
  91. or invest in newer servers.
  92.  
  93. 3. Noisy terminal lines.
  94.  
  95. If the terminal server thinks that it has seen a <break> character,
  96. it will go to the "Local>" prompt.
  97. In this case, the original session is still available and can
  98. be recovered by issuing the terminal server command "Forward".
  99.  
  100. Fix: rewire the terminal lines, using heavier guage twisted pairs,
  101. maybe using shielded pairs, and minimize the number of splices;
  102. or invest in more terminal servers so you can put them close to
  103. the terminals.
  104.  
  105. 4. Practical jokers.
  106.  
  107. Some people like to set the "break" and "forward" command codes
  108. to characters which are frequently typed. Most people aren't even
  109. aware of this feature.
  110.  
  111. Fix: punitive action or peer pressure.
  112.  
  113. I hope this helps.
  114.  
  115. Selden E. Ball, Jr.
  116. (Wilson Lab's network and system manager)
  117.  
  118. Cornell University                 Voice: +1-607-255-0688
  119. Laboratory of Nuclear Studies        FAX: +1-607-255-8062
  120. Wilson Synchrotron Lab            BITNET: SYSTEM@CRNLNS
  121. Judd Falls & Dryden Road        Internet: SYSTEM@LNS61.TN.CORNELL.EDU
  122. Ithaca, NY, USA 14853-8001   HEPnet/SPAN: LNS61::SYSTEM = 44283::SYSTEM
  123.  
  124. -------------------------------------------------------
  125.  
  126. Date: Wed, 02 Sep 92 08:38:47 -0700
  127. From: Donald R. Proctor     (510/596-3828) <sybase!donp@Sun.COM>
  128. Subject:      Re: 10baseT hubs with filtering
  129.  
  130.  
  131. > | Among the options for dealing with this seem to a multi-port bridge device
  132. > | that would prevent packets from being sent to "non-secure" jacks, by
  133. > | filtering the frames on all jacks except for the one to the addressed
  134. > | device.
  135.  
  136. > AT&T makes a 10BASE-T "SmartHUB" which does this. It jams data on all ports
  137. > other than the one with a matching configured MAC address. It can also track
  138. > movement of MAC addresses between ports. Price is about twice that of regular
  139. > 10BASE-T hubs. I haven't had direct experience with them yet, as we're having
  140. > a hard time getting a supplier to deliver one!
  141.  
  142. > Andy Hooper, Queen's University
  143.  
  144. I see two main problems with this approach to LAN "security."  First, it
  145. assumes a one-station-per-port architecture, which precludes attaching
  146. anything but an end station to the hub.  Second, it does nothing to foil
  147. Ethernet "spoofing," in which a station alters its Ethernet address to
  148. match that of a legitimate station.
  149.  
  150. Why wouldn't you just install a high-speed multiport bridge in this case?
  151. This will also do MAC-level filtering, plus deliver the full 10Mbit Ether-
  152. net bandwidth to each user.
  153.  
  154. Don Proctor
  155.  
  156. -------------------------------------------------------
  157.  
  158. Date: Wed, 02 Sep 92 09:43:00 -0700
  159. From: Donald R. Proctor     (510/596-3828) <sybase!donp@Sun.COM>
  160. Subject:      Re: Multi-Port Bridges
  161.  
  162.  
  163. Bob Gentile <rgentile@wcu.bitnet> writes:
  164.  
  165. > At West Chester University we are laying fiber between 42 buildings, and
  166. > will have 1,200 PC workstations running on 10 Base-T.  Initial traffic
  167. > will be mostly software download, E-mail, and terminal screens from an
  168. > IBM host.  Heavy imaging and video traffic are a couple of years in the
  169. > future.
  170.  
  171. > For management reasons servers (15-20 486 PCs) will be in a central
  172. > location.  Fiber will interconnect building concentrators and servers.  A
  173. > multi-port bridging design offered by Cabletron seems attractive.  It is
  174. > much less expensive than routers, is faster, and less complicated.  Routers
  175. > can always be added, but we arn't sure why they are need now.  Routers also
  176. > will be much more difficult and expensive to upgrade to FDDI.
  177.  
  178. Bob, I'd like to point out a couple of issues you may not have considered.
  179.  
  180. First, I don't think anyone would recommend setting up a bridged network
  181. with 1200 nodes today.  A good multi-port router is no more expensive than
  182. a good multi-port bridge (the Cisco and Alantec offerings come to mind),
  183. and the payoff of implmenting a routing infrastructure early in the game
  184. can be enormous.
  185.  
  186. The hub-based "low end" bridges are cheap, but are often lacking in per-
  187. formance and diagnostic features.  While nearly everyone claims to forward
  188. Ethernet packets at "wire speed," some vendors publish data based only on
  189. minimum-sized (64k) packets.  Also, it's worth asking yourself how you'll
  190. troubleshoot a problem the first time your beeper goes off at 3:00 AM...
  191. With the Cabletron bridges we used to use, it meant driving into the office
  192. and power-cycling the bloody things.
  193.  
  194. While you won't find any "plug and play" IP routers on the market, in most
  195. cases they take only a few minutes to configure once you get the hang of it.
  196.  
  197. > The concern that we have with multi-port bridging is that broadcasts will
  198. > be sent across all the segments.  Multi-port bridges will do filtering,
  199. > and "learn" paths between devices, which can help reduce broadcast traffic.
  200. > SNMP will help control broadcast storms.  Is this enough control?  Is it
  201. > worth paying 3-4 times as much for a routing solution?
  202.  
  203. Broadcasts could certainly be a problem for you; multi-port bridges will
  204. provide no help here.  You'll also find that a routing scheme will provide
  205. huge benefits in fault isolation.  For example, what are you going to do
  206. the first time a user starts seeing "duplicate IP address" messages on
  207. his console, with a 3Com Ethernet address?  In a large bridged network,
  208. this kind of problem can take weeks to solve.
  209.  
  210. We're just finishing up with a fairly painful conversion of a fully-bridged
  211. 1500-node worldwide network to a routed topology.  My advice to anyone
  212. still in the design phase is to deploy the routing infrastructure early.
  213.  
  214. > Any advise and especially any experience with multi-port bridging will
  215. > be appreciated.  Thanks:  Bob Gentile   RGENTILE@WCU  (215) 436-1037
  216.  
  217. Don Proctor
  218. Sybase Computer Systems
  219.  
  220. -------------------------------------------------------
  221.  
  222. Date: Fri, 04 Sep 92 14:48:39 -0400
  223. From: "John M. Wobus" <jmwobus@mailbox.syr.edu>
  224. Subject:      Re: experience/security issues
  225.  
  226. Linda Drake, CU Comp & Networks Srvs, writes:
  227.  
  228. >We're in the process of helping one of the campus ROTC units network their
  229. >PCs with NetWare.  Our experience from working with other groups is they
  230. >would greatly benefit from a connection to the rest of the campus (email,
  231. >CWIS, gopher, etc.) not to mention the rest of the world, but they're nervous
  232. >about the security implications.  Because this is our first experience with
  233. >ROTC, we don't have a good understanding of their applications software and
  234. >are hesitant to assure them that there won't be any problems.
  235. >
  236. >Have any other campuses encountered something similar?  Are you familiar with
  237. >the software they run to communicate with "headquarters" and how that might be
  238. >affected by a network connection?
  239.  
  240. This is not a helpful answer, just some obvious discussion about the
  241. problem.  The problem of providing a secure environment for one LAN within
  242. a campus or for a class of users who are spread throughout a campus is
  243. certainly one that faces every college and university: any department that
  244. wants to keep grades in a database, or the payroll, yet wants the
  245. networking convenience of attaching them just once, through a LAN to a
  246. campus-wide set of services will face a problem like this.  I suspect many
  247. sites are not real willing to talk about the problems a lot because they
  248. have a gateway here and a gateway there and their security depends
  249. somewhat on the fact that no one understands how it is all put together.
  250. All I'll say about our own site is that I'm not entirely comfortable with
  251. the security as is and have not been pushing for expansion in the area of
  252. applications with security requirements.
  253.  
  254. If it is a LAN that needs isolating, there are tricks you can do with a
  255. router that supports access lists, or with a firewall gateway.  Also, a
  256. Unix host attaching two LANs which does NOT route between them can
  257. allow access to whoever has usernames on the Unix host but no one else
  258. (if the Unix host is administered in a secure fashion!)
  259.  
  260. John Wobus
  261. Syracuse University
  262.  
  263. -------------------------------------------------------
  264.  
  265.  
  266. End of BIG-LAN Digest
  267. *********************
  268.