форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Защита от атак против DHCP"

Сообщение от opennews (??) on 02-Дек-08, 14:37

DHCP snooping - функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику. На странице (http://xgu.ru/wiki/DHCP_snooping) подробно описывается принцип действия метода DHCP snooping, а также процедура настройки коммутаторов HP ProCurve и Cisco для использования этого метода. URL: http://xgu.ru/wiki/DHCP_snooping Новость: https://www.opennet.ru/opennews/art.shtml?num=19188

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Защита от атак против DHCP"

Сообщение от Аноним (??) on 02-Дек-08, 14:37

респект автору.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Защита от атак против DHCP"

Сообщение от Dyr (??) on 02-Дек-08, 19:08

Там несколько автором, вики же. Даже я там приложился =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Защита от атак против DHCP"
	Сообщение от xguru on 03-Дек-08, 00:20
	В этой вроде нет: http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&acti... http://xgu.ru/w/index.php?title=%D0%A1%D0... Но вообще да, спасибо большое, особенно за SSH. Если делаете большой вклад в страничку, если что, не стесняйтесь ставить себя автором.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Защита от атак против DHCP"
	Сообщение от xguru on 03-Дек-08, 00:22
	>В этой вроде нет: > >http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&acti... >http://xgu.ru/w/index.php?title=%D0%A1%D0... > >Но вообще да, спасибо большое, особенно за SSH. > >Если делаете большой вклад в страничку, >если что, не стесняйтесь ставить себя автором. За ARP-spoofing тоже, кстати. Невнимательно посмотрел.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Защита от атак против DHCP"

Сообщение от Arti (??) on 03-Дек-08, 14:08

Честно говоря я не понял преимущества  DHCP snooping, по карайней мере в этой статье они не раскрыты (неудачный пример топологии ?). Проще тогда запретить при помощи ACL работу DHCP-серверов на клиентских портах, а запросы DHCP релеить в отдельный vlan например в "управленческий".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Защита от атак против DHCP"
	Сообщение от xguru on 03-Дек-08, 15:08
	ACL'ами всю логику DHCP-snooping'а будет прописать довольно сложно. Например, как прописать такое: Отбросить пакет, если он пришёл через ненадёжный (untrusted) порт, если он содержит сообщение DHCPRELEASE или DHCPDECLINE с MAC-адресом из базы данных привязки DHCP, но информация об интерфейсе в таблице не совпадает с интерфейсом, на котором был получен пакет? То есть, грубо говоря, адрес мы выдали одному, а отказывается от него другой через другой порт. Как это запретить ACLами?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Защита от атак против DHCP"
	Сообщение от Arti (??) on 03-Дек-08, 15:48
	Привязывать к MAC идея изначально плохая, хотя возможно и есть случаи когда это делать необходимо. Привязку луше делать через поля 82-й опци DHCP. Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт. Вот строить ACL на основании DHCP-relay или привязывать MAC к порту - это более на мой взгляд интересно, правда оговорюсь, говорить об этом без конкретной схемы сети бесполезно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Защита от атак против DHCP"
	Сообщение от xguru on 03-Дек-08, 19:51
	> Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт. Я не совсем понял, вы предлагаете вообще MAC-адреса не использовать при выдаче IP-адресов DHCP-сервером, а ориентироваться только на порт коммутатора?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Защита от атак против DHCP"
	Сообщение от Arti (??) on 04-Дек-08, 11:25
	Если политика один "порт - один адрес" то да, привязывать к MAC смысла я не вижу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Защита от атак против DHCP"

Сообщение от pavlinux (ok) on 03-Дек-08, 21:50

Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который смотрит интернет???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Защита от атак против DHCP"
	Сообщение от xguru on 04-Дек-08, 00:55
	>Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который >смотрит интернет??? А где там инет?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]