DHCP

[Chlopcik Ales]

Ales Koval wrote:

<CUT />

> Pokud pripojne body te site nemate plne pod kontrolu, at uz fyzickou ci
> organizacni, pak musite predpokladat, ze cela ta sit je neduveryhodna.

	Tohle je sakra trvde tvrzeni, ale (budete se divit :-) naprosto s nim
souhlasim. Dokonce bych sel jeste dal, a sice : Pokud nemate pripojne
body pod TRVALOU FYZICKOU ci TECHNICKOU*) kontrolou (organizacni IMHO
nestaci), tak je sit neduveryhodna <joke>(ve smylu PentaGon :-)</joke>.
	*) Technickou kontrolou mam na mysli, ze je technicky zabezpecena
nemoznost pripojeni neznameho zarizeni do site (napr. 6-ti parovy
konektor s jednim parem do zakaznickeho kryptovaciho cipu :-)

	A TO je prave duvod, proc chci podnikat KROKY.

> Spolehat se na to, ze maloktery student vi je spatne. Pokud uz pujde
> cestou nastavovani IP adres brzo dorazi i k te MAC adrese.

	K MAC adrese sice dorazi, ale je je otazka, zda po teto ceste bude
pokracovat. Ale samozrejme musim pocitat s tim, ze pokracovat bude
(treba proto, ze TO neni student, ale _pyrotechnik_ ci dokonce HacKer.
Takze nasazenim MACsecurity (ci jaxe TO jmenuje na /prepinacich Fy
CISCO/ :-) rozhodne zabezpecovani site nekonci (spise zacina :-).

> Pokud presto chcete jit touto cestou tak nezapomente nasadit i nejaky
> IDS a pro zacatek alespon arpwatch. Pak sam uvidite jestli udrzba a
> sprava takoveho systemu vas nebude stat vic nez jine reseni.
> 
> S pozdravem A. Koval

	O IDS jsem psal jiz v prvni me odpovedi (ze na nej cekam /resp. na
penize/ a ptal jsem se, zda NEKDO nema obdobu resenou na OpenSource).
	ArpWatch bych rozhodne povazoval spise za _prehledovy_, nez jej
_pokladal_ nekam k urovnim IDS (ale netvrdim, ze jste TO napsal, pouze
se TO tak _da_pochopit_ :-). ArpWatch poskytuje diagnostiku
_post_mortem_, _post_festum, t.j. az kdyz uz se stalo, pouze pasivni
prehled.

	Mate zkusenosti s administraci/udrzbou nejakeho takoveho systemu ?
Podelte se. Prosim, prosim.

	Jake jine reseni byste navrhoval ?

	Ales