DHCP

[Ales Koval]

Filip Flajšar wrote:
>> Windows umoznuji zmenit adresu MAC primo u vlastnosti sitove karty
>>  stejne lehce jako IP adresu.
> 
> Jak kdy :-)

V novejsich Windows snad vzdy. A chcete spolehat pri bezpecnosti na tohle?

>> Proc tipovat nebo se trefovat? Snifferem zjistim stejne snadno jak
>>  IP adresy tak i MAC adresy.
> 
> Ano da se to, ale nejsem si jist, jak to funguje na prepinanych 
> sitich. Mozna nejake arpovatko.

Na tech to funguje take, staci ten switch trochu zahltit ARP paketama.
Priklad toho arpovatka vcetne snifferu je treba angst
(http://angst.sourceforge.net/).

> SuperProfika nezastavite ani firewallem. Dejme tomu, ze uzivatele 
> jsou studenti, kteri maji nejake znalosti siti. Budou se zkouset 
> ruzne "hack" utilitky, kterym nerozumi, a mohou udelat na siti peknou
>  paseku. Mi jde primarne o to, ze kdyz bude mit nekdo ip, ktere 
> nebude pridelene dhcpd, tak ho co nejvice omezit. Tudiz zakazat inet,
>  pristup na servry atd. Malo ktereho studenta, hodne schopnou 
> sekretarku nebo "hackra" napadne, ze filtrovani neni na urovni ip ale
>  na fyzicke urovni, tudiz if (mac_a_ip_z_dhcpd == 
> mac_a_ip_od_stanice){ ACCEPT }else{ REJECT }

Pokud pripojne body te site nemate plne pod kontrolu, at uz fyzickou ci
organizacni, pak musite predpokladat, ze cela ta sit je neduveryhodna.
Spolehat se na to, ze maloktery student vi je spatne. Pokud uz pujde
cestou nastavovani IP adres brzo dorazi i k te MAC adrese.
Pokud presto chcete jit touto cestou tak nezapomente nasadit i nejaky
IDS a pro zacatek alespon arpwatch. Pak sam uvidite jestli udrzba a
sprava takoveho systemu vas nebude stat vic nez jine reseni.

S pozdravem A. Koval