DHCP

Chlopcik Ales chlopcik na vojnem-plzen.cz
Středa Září 22 11:28:04 CEST 2004 

Filip Flajšar wrote:
> 
> No jo, ale co kdyz si pridelim ipcko sam a to v rozsahu 172.22, tak:
> a) muzu kolidovat s jinou stanici
> b) dostanu se na intranetovy web

	ad a) Teoreticky by meta ta _nova_ uhnout (zahlasit kolizi a prestat
komunikovat :-).

	ad b) To je prave jeden (ale ne jediny :-) z duvodu, proc se jen
chystam. Nemam (zatim :-) zadny IDS (Intrusion Detecting System ci jak
TO zni :-). Az jej budu mit, pak budou pouze dve moznosti :
	MAC je znama => DHCP da udaje z _firemniho_ rozsahu (IP, jmeno, GW,
PROXY, .....)
	MAC je neznama => DHCP da udaje z rozsahu _navstevnici_.

	IDS bude kontrolovat (m.j. :-) MAC proti IP. Rozsahu _navstevnici_ si v
podstate nevsima (ale rikam v podstate :-). Pro IP z _firemniho_ rozsahu
kontroluje presnou korespondenci MAC-IP. Pokud najde nekalost, pak
stanici (ci port prepinace :-) zablokuje.

	BTW : Nemate neco takoveho nekdo utvorene na OpenSource ? Zatim mi vse
ukazuje, ze budu muset sahnout po komercnim reseni a reditel ma
selektivni hluchotu. Neslysi slovo penize :-).

	Ales

> 
> Reseni by mohlo byt.
> 
> /etc/ethers
> 
> FF:FF:FF:FF:FF:FF                       172.22.0.1
> AA:AA:AA:AA:AA:AA                       172.22.0.2
> 
> Nevim jak to aktualni ale kdysi jsem to kdesi cetl, ze je to taky obrana
> proti arpovatkam.
> Jedina nevyhoda je, po zmene sitovky musite zaznam prepsat.
> Dalsi moznost je firewall, ktery bude zaharovat packety, pokud packet bude
> mit jinou mac nez by tohle ip melo mit.
> 
> -- Filip
> 
> >       Budto jem neco pochopil jinak, nebo nevim.
> >
> >       Jestli se ptate, jak NEpridelit adresu pres DHCP nezname MAC, tak TO
> >jsem neresil ani filozoficky (nebot tim je IMHO nutite
> >_pridelit_si_adresu_vlastnorucne_).
> >       Ja (/uz dlouho/ se chystam :-) pridelovat znamym MAC adresam IP adresy
> >z korektniho rozsahu firmy (napr. 172.22), neznamym MAC (budu :-)
> >pridelovat adresy z jineho rozsaku (napr. 192.168). No a k tem z
> >_ciziho_rozsahu_ se budu chovat trosku jinak (napr. nebudou mit pristup
> >na vnitrni WEB, nebot ten je v rozsahu 172.22).
> >
> >       Ales
> >

Další informace o konferenci Linux