DHCP
Chlopcik Ales
chlopcik na vojnem-plzen.cz
Čtvrtek Září 23 15:10:43 CEST 2004
Ales Koval wrote:
<CUT />
> Pokud pripojne body te site nemate plne pod kontrolu, at uz fyzickou ci
> organizacni, pak musite predpokladat, ze cela ta sit je neduveryhodna.
Tohle je sakra trvde tvrzeni, ale (budete se divit :-) naprosto s nim
souhlasim. Dokonce bych sel jeste dal, a sice : Pokud nemate pripojne
body pod TRVALOU FYZICKOU ci TECHNICKOU*) kontrolou (organizacni IMHO
nestaci), tak je sit neduveryhodna <joke>(ve smylu PentaGon :-)</joke>.
*) Technickou kontrolou mam na mysli, ze je technicky zabezpecena
nemoznost pripojeni neznameho zarizeni do site (napr. 6-ti parovy
konektor s jednim parem do zakaznickeho kryptovaciho cipu :-)
A TO je prave duvod, proc chci podnikat KROKY.
> Spolehat se na to, ze maloktery student vi je spatne. Pokud uz pujde
> cestou nastavovani IP adres brzo dorazi i k te MAC adrese.
K MAC adrese sice dorazi, ale je je otazka, zda po teto ceste bude
pokracovat. Ale samozrejme musim pocitat s tim, ze pokracovat bude
(treba proto, ze TO neni student, ale _pyrotechnik_ ci dokonce HacKer.
Takze nasazenim MACsecurity (ci jaxe TO jmenuje na /prepinacich Fy
CISCO/ :-) rozhodne zabezpecovani site nekonci (spise zacina :-).
> Pokud presto chcete jit touto cestou tak nezapomente nasadit i nejaky
> IDS a pro zacatek alespon arpwatch. Pak sam uvidite jestli udrzba a
> sprava takoveho systemu vas nebude stat vic nez jine reseni.
>
> S pozdravem A. Koval
O IDS jsem psal jiz v prvni me odpovedi (ze na nej cekam /resp. na
penize/ a ptal jsem se, zda NEKDO nema obdobu resenou na OpenSource).
ArpWatch bych rozhodne povazoval spise za _prehledovy_, nez jej
_pokladal_ nekam k urovnim IDS (ale netvrdim, ze jste TO napsal, pouze
se TO tak _da_pochopit_ :-). ArpWatch poskytuje diagnostiku
_post_mortem_, _post_festum, t.j. az kdyz uz se stalo, pouze pasivni
prehled.
Mate zkusenosti s administraci/udrzbou nejakeho takoveho systemu ?
Podelte se. Prosim, prosim.
Jake jine reseni byste navrhoval ?
Ales
Další informace o konferenci Linux