DHCP

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Čtvrtek Září 23 18:52:43 CEST 2004


On Wed, 22 Sep 2004, Chlopcik Ales wrote:

> > No jo, ale co kdyz si pridelim ipcko sam a to v rozsahu 172.22, tak:
> > a) muzu kolidovat s jinou stanici
> > b) dostanu se na intranetovy web
> 
> 	ad a) Teoreticky by meta ta _nova_ uhnout (zahlasit kolizi a prestat
> komunikovat :-).

Chovani v situaci, kdy maji dva stejnou IP adresu je velmi rozmanite
a zajimave. Pokud jeden z nich nevymekne (a napr. ve windowsech za
doprovodne modre obrazovky, pokud to porad jeste ta wokna delaji, neohlasi
kolizi), tak to obvykle skonci tak, ze pakety chodi chvilku na jeden
pocitac a chvilku na druhy, a vzajemne si sestreluji TCP spojeni.

> 	MAC je znama => DHCP da udaje z _firemniho_ rozsahu (IP, jmeno, GW,
> PROXY, .....)
> 	MAC je neznama => DHCP da udaje z rozsahu _navstevnici_.

To bych taky potreboval, ale pridejte k tomu jeste zarazeni odpovidajiciho
portu na switchi do prislusneho VLANu v souladu s politikou, co popisuje,
kdo se smi na jaky port pripojit. :)


On Wed, 22 Sep 2004, Milan Keršláger wrote:

> Nicmene 100% to nikdy nebude. Leda byste nakoupil treba u IBM AS/400,
> terminaly, tokenring a pak zapnul kontrolu terminalu. Kdyz se terminal
> odpoji treba jen z UTP zasuvky, musi ho admin rucne "ozivit" (tj.
> prohlasit zase za duveryhodny). Ale to je trochu o jinych cenach... :-)

S 801.1x nebo pri trose kreativity s Ciscovym VMPS lze neco podobneho
dosahnout i s mene exotickym hardwarem.


On Thu, 23 Sep 2004, Ales Koval wrote:

> Na tech to funguje take, staci ten switch trochu zahltit ARP paketama.
> Priklad toho arpovatka vcetne snifferu je treba angst
> (http://angst.sourceforge.net/).

Bud zahlcujete switch (ktery po naplneni tabulek muze prejit do modu, kdy
se zacne chovat jako hub a vsechny ramce flooduje -- pokud se v takove
situaci cely nesesype...taky uz jsem to zazil <g>) NEBO rozesilate ARPy
(a oblbujete okolni pocitace a ne switch, aspon pokud mluvime o switchi na
2. vrstve). Jsou to dve ruzne metody, coz na jmenovane strance i pomerne
jasne napsano.

> Pokud pripojne body te site nemate plne pod kontrolu, at uz fyzickou ci
> organizacni, pak musite predpokladat, ze cela ta sit je neduveryhodna.
> Spolehat se na to, ze maloktery student vi je spatne. Pokud uz pujde
> cestou nastavovani IP adres brzo dorazi i k te MAC adrese.

Zalezi na tom, jaky problem resite, jestli ocekavate, ze se to lidi
budou snazit obejit, a jestli budete schopen obchazeni tohoto opatreni
patricne detekovat a postihnout (napr. tak, ze odpojite od pocitacove
site cele oddeleni do te doby, nez prinesou vinikovu useknutou
hlavu... <g>).

Je pravda, ze puvodni tazatel to formuloval tak, ze to vypadalo, ze chce
do site nechat nekontrolovane pripojovat cizince a zaroven chce dosahnout
nejakeho zabezpeceni...


On Thu, 23 Sep 2004, Chlopcik Ales wrote:

> 	ArpWatch bych rozhodne povazoval spise za _prehledovy_, nez jej
> _pokladal_ nekam k urovnim IDS (ale netvrdim, ze jste TO napsal, pouze
> se TO tak _da_pochopit_ :-). ArpWatch poskytuje diagnostiku
> _post_mortem_, _post_festum, t.j. az kdyz uz se stalo, pouze pasivni
> prehled.

D v IDS znamena Detection. Tedy pasivni detekci. Zarizeni, co aktivne
zasahuji proti predpokladanym utokum, jsou IPS, P = Prevention.
(To, ze marketdroidi delaji v odborne terminologii bordel, jeste
neznamena, ze se tim budeme ridit.) Cili Arpwatch za takove velmi
jednoduche IDS lze povazovat.


On Thu, 23 Sep 2004, Peter Surda wrote:

> Kopa managovatelnych switchov umoznuje ked nie priamo mapovanie mac
> adresy na svoj port, tak aspon vypis svojej mac tabulky s prislusnymi
> portami.

Pokud umi SNMP, pak staci polozit jediny dotaz a to na:
dot1dBridge.dot1dTp.dot1dTpFdbTable.dot1dTpFdbEntry.dot1dTpFdbPort.M
kde M je MAC adresa rozepsana na jednotlive bajty

(Ovsem pozor! Cisco zavedlo takovou flignu, ze vraci normalne jen data pro
VLAN c. 1, pro ostatni VLANy se musi jejich cislo dat do komunity, napr.
komunita na 123.)

Kdyz uz jsem si to tak vyzkoumal, tak si mozna i konecne automatizuju
vyhledavani pocitacu na siti... :)


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux