The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"защита от DHCP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"защита от DHCP"  
Сообщение от мирон (ok) on 28-Фев-08, 10:30 
есть сеть. в сети dhcp сервер. все круто и красиво. подключаешь к сети нотебук с модемом. на нотебуке виндовоз и в св-вах подключения к интырнету разрешен общий доступ. теперь часть р/ст получают адрес не с dhcp сервера, а с нотепука! настройки разумеется левые. какой способ защиты от такой "атаки" можно придумать?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "защита от DHCP"  
Сообщение от anad on 03-Мрт-08, 11:42 
>есть сеть. в сети dhcp сервер. все круто и красиво. подключаешь к
>сети нотебук с модемом. на нотебуке виндовоз и в св-вах подключения
>к интырнету разрешен общий доступ. теперь часть р/ст получают адрес не
>с dhcp сервера, а с нотепука! настройки разумеется левые. какой способ
>защиты от такой "атаки" можно придумать?

на свитче  фильтровать не получится ?   пропускать широковещательные  запросы  только на  нужный  порт/ сервер ? 90% современных управляемых свитчей  сумеют это сделать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "защита от DHCP"  
Сообщение от barma (??) on 07-Мрт-08, 21:45 
а кроме фильтрации идеи есть?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "защита от DHCP"  
Сообщение от ovix (??) on 08-Мрт-08, 11:53 
>а кроме фильтрации идеи есть?

VLAN и получение IP по MAC

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "защита от DHCP"  
Сообщение от Andrey Mitrofanov on 11-Мрт-08, 11:52 
>а кроме фильтрации идеи есть?

Предупреждение, штраф, увольнение, посадка, расстрел супостата.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "защита от DHCP"  
Сообщение от anad (ok) on 24-Мрт-08, 18:55 
>а кроме фильтрации идеи есть?

если  придумаете  - скажите -  поскольку  самому такие  "гении" мешают ..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "защита от DHCP"  
Сообщение от CrAzOiD (ok) on 25-Мрт-08, 00:13 
>а кроме фильтрации идеи есть?

есть еще замечательный способ: административно-командный.
после показательной порки перед строем, лишением части зарплаты и пр. (потому как есть специальные инструкции на предмет водедения в сети) желание экспериментировать в сети отпадает надолго.
ессно не панацея, но в купе с другими методами дает результат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "защита от DHCP"  
Сообщение от мирон (??) on 27-Мрт-08, 13:03 
подобъем бабки.

строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи которые фильтруют ответы dhcp серверов. но другого нормального решения нет.

ибо привязка к мак адресам - геморрой. с таким же фефектом можно адреса прописывать вручную на р/ст.

административно-отшлепывательные методы - тож фигня.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "защита от DHCP"  
Сообщение от Septima (??) on 31-Мрт-08, 07:59 
>подобъем бабки.
>
>строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи
>которые фильтруют ответы dhcp серверов. но другого нормального решения нет.
>
>ибо привязка к мак адресам - геморрой. с таким же фефектом можно
>адреса прописывать вручную на р/ст.

Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к IP и спасет в данной ситуации. Не полная панацея, т.к. от подмены/перехвата MAC-а не защитит, но первый шаг.

>административно-отшлепывательные методы - тож фигня.

Это смотря в какой конторе.

PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC - никто больше от другого DHCP эти адреса не получит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "защита от DHCP"  
Сообщение от мирон (??) on 31-Мрт-08, 10:12 

>>ибо привязка к мак адресам - геморрой. с таким же фефектом можно
>>адреса прописывать вручную на р/ст.
>
>Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к
>IP и спасет в данной ситуации. Не полная панацея, т.к. от
>подмены/перехвата MAC-а не защитит, но первый шаг.

угу, не защитит. и потому чем геморойствовать, может лучше просто вручную назначить?

>PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC -
>никто больше от другого DHCP эти адреса не получит.

это закроет адреса из "нашего" диапазона, а все остальные? от зловредного сервера кот самовольно раздает адреса это нисколько не защитит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "защита от DHCP"  
Сообщение от ANONIM (??) on 07-Апр-08, 22:19 
1 все ресурсы сети только через VPN (inet..)
2 скрипт в crontab который сканирует сеть на наличие DHCP и если найдет
  то блкировка соответствующего аккаунта VPN на долго
3 по возможности всех в отдельные VLAN-ы
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "защита от DHCP"  
Сообщение от мирон (??) on 14-Апр-08, 13:04 
>1 все ресурсы сети только через VPN (inet..)

прежде чем vpn, надо какой-нить ip получить... по dhcp... левому! :)

>2 скрипт в crontab который сканирует сеть на наличие DHCP и если
>найдет то блкировка соответствующего аккаунта VPN на долго

а dhcp ч-з vpn раздает? :)

>3 по возможности всех в отдельные VLAN-ы

каждого в отд vlan? сильно! и опять же на свичах...
тогда уж проще фильтры на свичах ставить для dhcp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "защита от DHCP"  
Сообщение от Pahanivo email(??) on 21-Апр-08, 18:33 
1) Согласен с предыдущим - лучшее решение управляемый свич

2) Если управляемый свич не подходит и сеть - большая общедоступная помойка:
  своим пользователям ставим фильтры (по activdirectory или другим способом) только на
  свой DHCP (wipfw, любой пакет безопасности(антивирь) с собственным фареволом и
  возможностью этот фаревол обновлять при помощи профиля с центрального сервака).
  Параллельно фильтруем свой DHCP по макам своих компов.
  Это защитит ваш сегмент от атаки.
  В дополнение пишем скриптик который будет ловить ответы от DHCP серверов, и если
  сервак левый - то стучать администратору. Можно будет оперативно засекать гадов.
  + Вполне согласен с административным наказанием.

Все вместе позволит оградится от вышеописанной байды.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру