DHCP

[Chlopcik Ales]

Pavel Kankovsky wrote:
> 

<CUT />

> 
> >       MAC je znama => DHCP da udaje z _firemniho_ rozsahu (IP, jmeno, GW,
> > PROXY, .....)
> >       MAC je neznama => DHCP da udaje z rozsahu _navstevnici_.
> 
> To bych taky potreboval, ale pridejte k tomu jeste zarazeni odpovidajiciho
> portu na switchi do prislusneho VLANu v souladu s politikou, co popisuje,
> kdo se smi na jaky port pripojit. :)

	Tak tady jsem uvazoval Layer 3 (4) Switching, IPbaseVLANs, nebot se mi
povedlo zavest (a udrzet :-) IPschema jako Becko slozene ze subCecek.
Napr. 172.22.11.x je udrzba, 172.22.33.x je doprava, .... 172.22.55.x
jsou servery. Udrzbar bude moci soubor pro dopravu polozit na FTP/SMB
server a/nebo poslat na dopravu Emila. Oboji pujde pres servery (maji
vlastni VLAN) => vsechny VLANy komunikuji pouze s VLAN 55, mezi sebou
nikolivek. M.j. tim vyresim i mobilitu stroju (ale ne lidi :-).

<CUT /> 

> 
> On Thu, 23 Sep 2004, Ales Koval wrote:
> > Pokud pripojne body te site nemate plne pod kontrolu, at uz fyzickou ci
> > organizacni, pak musite predpokladat, ze cela ta sit je neduveryhodna.
> > Spolehat se na to, ze maloktery student vi je spatne. Pokud uz pujde
> > cestou nastavovani IP adres brzo dorazi i k te MAC adrese.
> 
> Zalezi na tom, jaky problem resite, jestli ocekavate, ze se to lidi
> budou snazit obejit, a jestli budete schopen obchazeni tohoto opatreni
> patricne detekovat a postihnout (napr. tak, ze odpojite od pocitacove
> site cele oddeleni do te doby, nez prinesou vinikovu useknutou
> hlavu... <g>).

<joke> Bych tak tvrdy nebyl. Bych poprve chtel jenom ruku (ale
pravou)</joke>

> 
> Je pravda, ze puvodni tazatel to formuloval tak, ze to vypadalo, ze chce
> do site nechat nekontrolovane pripojovat cizince a zaroven chce dosahnout
> nejakeho zabezpeceni...

	Priznavam bez muceni, ze tak jsem TO pochopil (a uchopil :-) take m.j.
proto, ze se touto myslenkou jiz delsi dobu zaobiram a hledam zpusob,
jak TO umoznit, aniz bych _snizil_ bezpecnost. Sice jsem nemel na mysli
az uplne _nekontrolovane_, ale mel jsem na mysli _cizince_ (resp.
_navstevniky_).

> 
> On Thu, 23 Sep 2004, Chlopcik Ales wrote:
> 
> >       ArpWatch bych rozhodne povazoval spise za _prehledovy_, nez jej
> > _pokladal_ nekam k urovnim IDS (ale netvrdim, ze jste TO napsal, pouze
> > se TO tak _da_pochopit_ :-). ArpWatch poskytuje diagnostiku
> > _post_mortem_, _post_festum, t.j. az kdyz uz se stalo, pouze pasivni
> > prehled.
> 
> D v IDS znamena Detection. Tedy pasivni detekci. Zarizeni, co aktivne
> zasahuji proti predpokladanym utokum, jsou IPS, P = Prevention.
> (To, ze marketdroidi delaji v odborne terminologii bordel, jeste
> neznamena, ze se tim budeme ridit.) Cili Arpwatch za takove velmi
> jednoduche IDS lze povazovat.
> 

	Dekuji. P jsem neznal (je videt, ze obchodnici funguji :-<

	Kam tedy patri SNORT ? Mezi IDS ci mezi IPS ? Pri zbeznem precteni jeho
popisu a FAQ jsem nenasel nic, co by nasvedcovalo tomu, ze je IPS (po
nemz touzim :-).


<CUT />


	Ales