forum.opennet.ru - "защита от DHCP" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"защита от DHCP"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"защита от DHCP"
Сообщение от мирон (ok) on 28-Фев-08, 10:30
есть сеть. в сети dhcp сервер. все круто и красиво. подключаешь к сети нотебук с модемом. на нотебуке виндовоз и в св-вах подключения к интырнету разрешен общий доступ. теперь часть р/ст получают адрес не с dhcp сервера, а с нотепука! настройки разумеется левые. какой способ защиты от такой "атаки" можно придумать?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

защита от DHCP, anad, 11:42 , 03-Мрт-08, (1)

защита от DHCP, barma, 21:45 , 07-Мрт-08, (2)

защита от DHCP, ovix, 11:53 , 08-Мрт-08, (3)
защита от DHCP, Andrey Mitrofanov, 11:52 , 11-Мрт-08, (4)
защита от DHCP, anad, 18:55 , 24-Мрт-08, (5)
защита от DHCP, CrAzOiD, 00:13 , 25-Мрт-08, (6)

защита от DHCP, мирон, 13:03 , 27-Мрт-08, (7)

защита от DHCP, Septima, 07:59 , 31-Мрт-08, (8)

защита от DHCP, мирон, 10:12 , 31-Мрт-08, (9)

защита от DHCP, ANONIM, 22:19 , 07-Апр-08, (10)

защита от DHCP, мирон, 13:04 , 14-Апр-08, (11)

защита от DHCP, Pahanivo, 18:33 , 21-Апр-08, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. "защита от DHCP"

Сообщение от anad on 03-Мрт-08, 11:42

>есть сеть. в сети dhcp сервер. все круто и красиво. подключаешь к
>сети нотебук с модемом. на нотебуке виндовоз и в св-вах подключения
>к интырнету разрешен общий доступ. теперь часть р/ст получают адрес не
>с dhcp сервера, а с нотепука! настройки разумеется левые. какой способ
>защиты от такой "атаки" можно придумать?
на свитче  фильтровать не получится ?   пропускать широковещательные  запросы  только на  нужный  порт/ сервер ? 90% современных управляемых свитчей  сумеют это сделать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "защита от DHCP"

Сообщение от barma (??) on 07-Мрт-08, 21:45

а кроме фильтрации идеи есть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "защита от DHCP"

Сообщение от ovix (??) on 08-Мрт-08, 11:53

>а кроме фильтрации идеи есть?
VLAN и получение IP по MAC

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "защита от DHCP"

Сообщение от Andrey Mitrofanov on 11-Мрт-08, 11:52

>а кроме фильтрации идеи есть?
Предупреждение, штраф, увольнение, посадка, расстрел супостата.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "защита от DHCP"

Сообщение от anad (ok) on 24-Мрт-08, 18:55

>а кроме фильтрации идеи есть?
если  придумаете  - скажите -  поскольку  самому такие  "гении" мешают ..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "защита от DHCP"

Сообщение от CrAzOiD (ok) on 25-Мрт-08, 00:13

>а кроме фильтрации идеи есть?
есть еще замечательный способ: административно-командный.
после показательной порки перед строем, лишением части зарплаты и пр. (потому как есть специальные инструкции на предмет водедения в сети) желание экспериментировать в сети отпадает надолго.
ессно не панацея, но в купе с другими методами дает результат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "защита от DHCP"

Сообщение от мирон (??) on 27-Мрт-08, 13:03

подобъем бабки.
строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи которые фильтруют ответы dhcp серверов. но другого нормального решения нет.
ибо привязка к мак адресам - геморрой. с таким же фефектом можно адреса прописывать вручную на р/ст.
административно-отшлепывательные методы - тож фигня.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "защита от DHCP"

Сообщение от Septima (??) on 31-Мрт-08, 07:59

>подобъем бабки.
>
>строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи
>которые фильтруют ответы dhcp серверов. но другого нормального решения нет.
>
>ибо привязка к мак адресам - геморрой. с таким же фефектом можно
>адреса прописывать вручную на р/ст.
Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к IP и спасет в данной ситуации. Не полная панацея, т.к. от подмены/перехвата MAC-а не защитит, но первый шаг.
>административно-отшлепывательные методы - тож фигня.
Это смотря в какой конторе.
PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC - никто больше от другого DHCP эти адреса не получит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "защита от DHCP"

Сообщение от мирон (??) on 31-Мрт-08, 10:12

>>ибо привязка к мак адресам - геморрой. с таким же фефектом можно
>>адреса прописывать вручную на р/ст.
>
>Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к
>IP и спасет в данной ситуации. Не полная панацея, т.к. от
>подмены/перехвата MAC-а не защитит, но первый шаг.
угу, не защитит. и потому чем геморойствовать, может лучше просто вручную назначить?
>PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC -
>никто больше от другого DHCP эти адреса не получит.
это закроет адреса из "нашего" диапазона, а все остальные? от зловредного сервера кот самовольно раздает адреса это нисколько не защитит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "защита от DHCP"

Сообщение от ANONIM (??) on 07-Апр-08, 22:19

1 все ресурсы сети только через VPN (inet..)
2 скрипт в crontab который сканирует сеть на наличие DHCP и если найдет
  то блкировка соответствующего аккаунта VPN на долго
3 по возможности всех в отдельные VLAN-ы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "защита от DHCP"

Сообщение от мирон (??) on 14-Апр-08, 13:04

>1 все ресурсы сети только через VPN (inet..)
прежде чем vpn, надо какой-нить ip получить... по dhcp... левому! :)
>2 скрипт в crontab который сканирует сеть на наличие DHCP и если
>найдет то блкировка соответствующего аккаунта VPN на долго
а dhcp ч-з vpn раздает? :)
>3 по возможности всех в отдельные VLAN-ы
каждого в отд vlan? сильно! и опять же на свичах...
тогда уж проще фильтры на свичах ставить для dhcp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "защита от DHCP"

Сообщение от Pahanivo (??) on 21-Апр-08, 18:33

1) Согласен с предыдущим - лучшее решение управляемый свич
2) Если управляемый свич не подходит и сеть - большая общедоступная помойка:
  своим пользователям ставим фильтры (по activdirectory или другим способом) только на
  свой DHCP (wipfw, любой пакет безопасности(антивирь) с собственным фареволом и
  возможностью этот фаревол обновлять при помощи профиля с центрального сервака).
  Параллельно фильтруем свой DHCP по макам своих компов.
  Это защитит ваш сегмент от атаки.
  В дополнение пишем скриптик который будет ловить ответы от DHCP серверов, и если
  сервак левый - то стучать администратору. Можно будет оперативно засекать гадов.
  + Вполне согласен с административным наказанием.
Все вместе позволит оградится от вышеописанной байды.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "защита от DHCP"
Сообщение от anad on 03-Мрт-08, 11:42
>есть сеть. в сети dhcp сервер. все круто и красиво. подключаешь к >сети нотебук с модемом. на нотебуке виндовоз и в св-вах подключения >к интырнету разрешен общий доступ. теперь часть р/ст получают адрес не >с dhcp сервера, а с нотепука! настройки разумеется левые. какой способ >защиты от такой "атаки" можно придумать? на свитче фильтровать не получится ? пропускать широковещательные запросы только на нужный порт/ сервер ? 90% современных управляемых свитчей сумеют это сделать.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "защита от DHCP"
	Сообщение от barma (??) on 07-Мрт-08, 21:45
	а кроме фильтрации идеи есть?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "защита от DHCP"
	Сообщение от ovix (??) on 08-Мрт-08, 11:53
	>а кроме фильтрации идеи есть? VLAN и получение IP по MAC
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "защита от DHCP"
	Сообщение от Andrey Mitrofanov on 11-Мрт-08, 11:52
	>а кроме фильтрации идеи есть? Предупреждение, штраф, увольнение, посадка, расстрел супостата.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "защита от DHCP"
	Сообщение от anad (ok) on 24-Мрт-08, 18:55
	>а кроме фильтрации идеи есть? если придумаете - скажите - поскольку самому такие "гении" мешают ..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "защита от DHCP"
	Сообщение от CrAzOiD (ok) on 25-Мрт-08, 00:13
	>а кроме фильтрации идеи есть? есть еще замечательный способ: административно-командный. после показательной порки перед строем, лишением части зарплаты и пр. (потому как есть специальные инструкции на предмет водедения в сети) желание экспериментировать в сети отпадает надолго. ессно не панацея, но в купе с другими методами дает результат.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "защита от DHCP"
Сообщение от мирон (??) on 27-Мрт-08, 13:03
подобъем бабки. строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи которые фильтруют ответы dhcp серверов. но другого нормального решения нет. ибо привязка к мак адресам - геморрой. с таким же фефектом можно адреса прописывать вручную на р/ст. административно-отшлепывательные методы - тож фигня.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "защита от DHCP"
	Сообщение от Septima (??) on 31-Мрт-08, 07:59
	>подобъем бабки. > >строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи >которые фильтруют ответы dhcp серверов. но другого нормального решения нет. > >ибо привязка к мак адресам - геморрой. с таким же фефектом можно >адреса прописывать вручную на р/ст. Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к IP и спасет в данной ситуации. Не полная панацея, т.к. от подмены/перехвата MAC-а не защитит, но первый шаг. >административно-отшлепывательные методы - тож фигня. Это смотря в какой конторе. PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC - никто больше от другого DHCP эти адреса не получит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "защита от DHCP"
	Сообщение от мирон (??) on 31-Мрт-08, 10:12
	>>ибо привязка к мак адресам - геморрой. с таким же фефектом можно >>адреса прописывать вручную на р/ст. > >Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к >IP и спасет в данной ситуации. Не полная панацея, т.к. от >подмены/перехвата MAC-а не защитит, но первый шаг. угу, не защитит. и потому чем геморойствовать, может лучше просто вручную назначить? >PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC - >никто больше от другого DHCP эти адреса не получит. это закроет адреса из "нашего" диапазона, а все остальные? от зловредного сервера кот самовольно раздает адреса это нисколько не защитит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "защита от DHCP"
	Сообщение от ANONIM (??) on 07-Апр-08, 22:19
	1 все ресурсы сети только через VPN (inet..) 2 скрипт в crontab который сканирует сеть на наличие DHCP и если найдет то блкировка соответствующего аккаунта VPN на долго 3 по возможности всех в отдельные VLAN-ы
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "защита от DHCP"
	Сообщение от мирон (??) on 14-Апр-08, 13:04
	>1 все ресурсы сети только через VPN (inet..) прежде чем vpn, надо какой-нить ip получить... по dhcp... левому! :) >2 скрипт в crontab который сканирует сеть на наличие DHCP и если >найдет то блкировка соответствующего аккаунта VPN на долго а dhcp ч-з vpn раздает? :) >3 по возможности всех в отдельные VLAN-ы каждого в отд vlan? сильно! и опять же на свичах... тогда уж проще фильтры на свичах ставить для dhcp
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

12. "защита от DHCP"
Сообщение от Pahanivo (??) on 21-Апр-08, 18:33
1) Согласен с предыдущим - лучшее решение управляемый свич 2) Если управляемый свич не подходит и сеть - большая общедоступная помойка: своим пользователям ставим фильтры (по activdirectory или другим способом) только на свой DHCP (wipfw, любой пакет безопасности(антивирь) с собственным фареволом и возможностью этот фаревол обновлять при помощи профиля с центрального сервака). Параллельно фильтруем свой DHCP по макам своих компов. Это защитит ваш сегмент от атаки. В дополнение пишем скриптик который будет ловить ответы от DHCP серверов, и если сервак левый - то стучать администратору. Можно будет оперативно засекать гадов. + Вполне согласен с административным наказанием. Все вместе позволит оградится от вышеописанной байды.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]