https://opennet.me/openforum/vsluhforumID10/3681.html есть сеть. в сети dhcp сервер. все круто и красиво. подключаешь к сети нотебук с модемом. на нотебуке виндовоз и в св-вах подключения к интырнету разрешен общий доступ. теперь часть р/ст получают адрес не с dhcp сервера, а с нотепука! настройки разумеется левые. какой способ защиты от такой "атаки" можно придумать?<br> https://opennet.me/openforum/vsluhforumID10/3681.html#12 Mon, 21 Apr 2008 14:33:08 GMT 1) Согласен с предыдущим - лучшее решение управляемый свич<br><br>2) Если управляемый свич не подходит и сеть - большая общедоступная помойка:<br> своим пользователям ставим фильтры (по activdirectory или другим способом) только на <br> свой DHCP (wipfw, любой пакет безопасности(антивирь) с собственным фареволом и <br> возможностью этот фаревол обновлять при помощи профиля с центрального сервака).<br> Параллельно фильтруем свой DHCP по макам своих компов.<br> Это защитит ваш сегмент от атаки.<br> В дополнение пишем скриптик который будет ловить ответы от DHCP серверов, и если<br> сервак левый - то стучать администратору. Можно будет оперативно засекать гадов.<br> + Вполне согласен с административным наказанием.<br><br>Все вместе позволит оградится от вышеописанной байды.<br><br><br> https://opennet.me/openforum/vsluhforumID10/3681.html#11 Mon, 14 Apr 2008 09:04:08 GMT &gt;1 все ресурсы сети только через VPN (inet..)<br><br>прежде чем vpn, надо какой-нить ip получить... по dhcp... левому! :)<br><br>&gt;2 скрипт в crontab который сканирует сеть на наличие DHCP и если <br>&gt;найдет то блкировка соответствующего аккаунта VPN на долго <br><br>а dhcp ч-з vpn раздает? :)<br><br>&gt;3 по возможности всех в отдельные VLAN-ы <br><br>каждого в отд vlan? сильно! и опять же на свичах...<br>тогда уж проще фильтры на свичах ставить для dhcp<br> https://opennet.me/openforum/vsluhforumID10/3681.html#10 Mon, 07 Apr 2008 18:19:05 GMT 1 все ресурсы сети только через VPN (inet..)<br>2 скрипт в crontab который сканирует сеть на наличие DHCP и если найдет <br> то блкировка соответствующего аккаунта VPN на долго<br>3 по возможности всех в отдельные VLAN-ы<br> https://opennet.me/openforum/vsluhforumID10/3681.html#9 Mon, 31 Mar 2008 06:12:59 GMT <br>&gt;&gt;ибо привязка к мак адресам - геморрой. с таким же фефектом можно <br>&gt;&gt;адреса прописывать вручную на р/ст.<br>&gt;<br>&gt;Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к <br>&gt;IP и спасет в данной ситуации. Не полная панацея, т.к. от <br>&gt;подмены/перехвата MAC-а не защитит, но первый шаг. <br><br>угу, не защитит. и потому чем геморойствовать, может лучше просто вручную назначить?<br><br>&gt;PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC - <br>&gt;никто больше от другого DHCP эти адреса не получит. <br><br>это закроет адреса из "нашего" диапазона, а все остальные? от зловредного сервера кот самовольно раздает адреса это нисколько не защитит.<br> https://opennet.me/openforum/vsluhforumID10/3681.html#8 Mon, 31 Mar 2008 03:59:49 GMT &gt;подобъем бабки. <br>&gt;<br>&gt;строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи <br>&gt;которые фильтруют ответы dhcp серверов. но другого нормального решения нет. <br>&gt;<br>&gt;ибо привязка к мак адресам - геморрой. с таким же фефектом можно <br>&gt;адреса прописывать вручную на р/ст.<br><br>Только этот геморой вкупе с man arp на предмет прибивания MAC-ов к IP и спасет в данной ситуации. Не полная панацея, т.к. от подмены/перехвата MAC-а не защитит, но первый шаг.<br><br>&gt;административно-отшлепывательные методы - тож фигня.<br><br>Это смотря в какой конторе.<br><br>PS: дополнение (подсказка) по прибиванию: неиспользуемые адреса прибиваем на несуществующий MAC - никто больше от другого DHCP эти адреса не получит.<br> https://opennet.me/openforum/vsluhforumID10/3681.html#7 Thu, 27 Mar 2008 10:03:41 GMT подобъем бабки.<br><br>строить сеть исключительно на управляемых свичах с умной фильтрацией слишком дорого. свичи которые фильтруют ответы dhcp серверов. но другого нормального решения нет.<br><br>ибо привязка к мак адресам - геморрой. с таким же фефектом можно адреса прописывать вручную на р/ст.<br><br>административно-отшлепывательные методы - тож фигня.<br> https://opennet.me/openforum/vsluhforumID10/3681.html#6 Mon, 24 Mar 2008 21:13:22 GMT &gt;а кроме фильтрации идеи есть? <br><br>есть еще замечательный способ: административно-командный.<br>после показательной порки перед строем, лишением части зарплаты и пр. (потому как есть специальные инструкции на предмет водедения в сети) желание экспериментировать в сети отпадает надолго.<br>ессно не панацея, но в купе с другими методами дает результат.<br> https://opennet.me/openforum/vsluhforumID10/3681.html#5 Mon, 24 Mar 2008 15:55:09 GMT &gt;а кроме фильтрации идеи есть? <br><br>если придумаете - скажите - поскольку самому такие "гении" мешают .. <br> https://opennet.me/openforum/vsluhforumID10/3681.html#4 Tue, 11 Mar 2008 08:52:47 GMT &gt;а кроме фильтрации идеи есть? <br><br>Предупреждение, штраф, увольнение, посадка, расстрел супостата.<br>