URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3681
[ Назад ]

Исходное сообщение
"защита от DHCP"
Отправлено мирон , 28-Фев-08 10:30

есть сеть. в сети dhcp сервер. все круто и красиво. подключаешь к сети нотебук с модемом. на нотебуке виндовоз и в св-вах подключения к интырнету разрешен общий доступ. теперь часть р/ст получают адрес не с dhcp сервера, а с нотепука! настройки разумеется левые. какой способ защиты от такой "атаки" можно придумать?

Содержание

защита от DHCP,anad, 11:42 , 03-Мрт-08
- защита от DHCP,barma, 21:45 , 07-Мрт-08
  - защита от DHCP,ovix, 11:53 , 08-Мрт-08
  - защита от DHCP,Andrey Mitrofanov, 11:52 , 11-Мрт-08
  - защита от DHCP,anad, 18:55 , 24-Мрт-08
  - защита от DHCP,CrAzOiD, 00:13 , 25-Мрт-08
защита от DHCP,мирон, 13:03 , 27-Мрт-08
- защита от DHCP,Septima, 07:59 , 31-Мрт-08
  - защита от DHCP,мирон, 10:12 , 31-Мрт-08
    - защита от DHCP,ANONIM, 22:19 , 07-Апр-08
      - защита от DHCP,мирон, 13:04 , 14-Апр-08
защита от DHCP,Pahanivo, 18:33 , 21-Апр-08

Сообщения в этом обсуждении

"защита от DHCP"
Отправлено anad , 03-Мрт-08 11:42

>есть сеть. в сети dhcp сервер. все круто и красиво. подключаешь к
>сети нотебук с модемом. на нотебуке виндовоз и в св-вах подключения
>к интырнету разрешен общий доступ. теперь часть р/ст получают адрес не
>с dhcp сервера, а с нотепука! настройки разумеется левые. какой способ
>защиты от такой "атаки" можно придумать?
на свитче фильтровать не получится ? пропускать широковещательные запросы только на нужный порт/ сервер ? 90% современных управляемых свитчей сумеют это сделать.

"защита от DHCP"
Отправлено barma , 07-Мрт-08 21:45

а кроме фильтрации идеи есть?

"защита от DHCP"
Отправлено ovix , 08-Мрт-08 11:53

>а кроме фильтрации идеи есть?
VLAN и получение IP по MAC

"защита от DHCP"
Отправлено Andrey Mitrofanov , 11-Мрт-08 11:52

>а кроме фильтрации идеи есть?
Предупреждение, штраф, увольнение, посадка, расстрел супостата.

"защита от DHCP"
Отправлено anad , 24-Мрт-08 18:55

>а кроме фильтрации идеи есть?
если придумаете - скажите - поскольку самому такие "гении" мешают ..

"защита от DHCP"
Отправлено CrAzOiD , 25-Мрт-08 00:13

>а кроме фильтрации идеи есть?
есть еще замечательный способ: административно-командный.
после показательной порки перед строем, лишением части зарплаты и пр. (потому как есть специальные инструкции на предмет водедения в сети) желание экспериментировать в сети отпадает надолго.
ессно не панацея, но в купе с другими методами дает результат.

"защита от DHCP"
Отправлено мирон , 27-Мрт-08 13:03

подобъем бабки.
строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи которые фильтруют ответы dhcp серверов. но другого нормального решения нет.
ибо привязка к мак адресам - геморрой. с таким же фефектом можно адреса прописывать вручную на р/ст.
административно-отшлепывательные методы - тож фигня.

"защита от DHCP"
Отправлено Septima , 31-Мрт-08 07:59

>подобъем бабки.
>
>строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи
>которые фильтруют ответы dhcp серверов. но другого нормального решения нет.
>
>ибо привязка к мак адресам - геморрой. с таким же фефектом можно
>адреса прописывать вручную на р/ст.
Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к IP и спасет в данной ситуации. Не полная панацея, т.к. от подмены/перехвата MAC-а не защитит, но первый шаг.
>административно-отшлепывательные методы - тож фигня.
Это смотря в какой конторе.
PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC - никто больше от другого DHCP эти адреса не получит.

"защита от DHCP"
Отправлено мирон , 31-Мрт-08 10:12

>>ибо привязка к мак адресам - геморрой. с таким же фефектом можно
>>адреса прописывать вручную на р/ст.
>
>Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к
>IP и спасет в данной ситуации. Не полная панацея, т.к. от
>подмены/перехвата MAC-а не защитит, но первый шаг.
угу, не защитит. и потому чем геморойствовать, может лучше просто вручную назначить?
>PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC -
>никто больше от другого DHCP эти адреса не получит.
это закроет адреса из "нашего" диапазона, а все остальные? от зловредного сервера кот самовольно раздает адреса это нисколько не защитит.

"защита от DHCP"
Отправлено ANONIM , 07-Апр-08 22:19

1 все ресурсы сети только через VPN (inet..)
2 скрипт в crontab который сканирует сеть на наличие DHCP и если найдет
то блкировка соответствующего аккаунта VPN на долго
3 по возможности всех в отдельные VLAN-ы

"защита от DHCP"
Отправлено мирон , 14-Апр-08 13:04

>1 все ресурсы сети только через VPN (inet..)
прежде чем vpn, надо какой-нить ip получить... по dhcp... левому! :)
>2 скрипт в crontab который сканирует сеть на наличие DHCP и если
>найдет то блкировка соответствующего аккаунта VPN на долго
а dhcp ч-з vpn раздает? :)
>3 по возможности всех в отдельные VLAN-ы
каждого в отд vlan? сильно! и опять же на свичах...
тогда уж проще фильтры на свичах ставить для dhcp

"защита от DHCP"
Отправлено Pahanivo , 21-Апр-08 18:33

1) Согласен с предыдущим - лучшее решение управляемый свич
2) Если управляемый свич не подходит и сеть - большая общедоступная помойка:
  своим пользователям ставим фильтры (по activdirectory или другим способом) только на
  свой DHCP (wipfw, любой пакет безопасности(антивирь) с собственным фареволом и
  возможностью этот фаревол обновлять при помощи профиля с центрального сервака).
  Параллельно фильтруем свой DHCP по макам своих компов.
  Это защитит ваш сегмент от атаки.
  В дополнение пишем скриптик который будет ловить ответы от DHCP серверов, и если
  сервак левый - то стучать администратору. Можно будет оперативно засекать гадов.
  + Вполне согласен с административным наказанием.
Все вместе позволит оградится от вышеописанной байды.