praegune kellaaeg 16.06.2024 17:22:36
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
03.04.2009 16:16:48
illegaalsed DHCP serverid |
|
|
Mida võiks peale hakata illegaalsete DHCP serveritega MS domeenis? Tundub et MS'l on see täiesti nõrk koht kui mitte lausa turvaauk. Authorized DHCP servereid nagu ikka on ainult üks ja domeenimasinatest keegi muu DHCP serveriks hakata ei saa. Kui enamasti need illegaalid polegi domeeni masinad ja serveerivad DHCP'd ilma mingi takistuseta. Domeenimasinad, kui IP'd küsivad, saadavad udp-68 pordist välja broadcasti udp-67 porti. Nüüd aga võib iga kaabakas vastata ja MS'i domeenimasin aktsepteerib ilusti kohe igast saasta. Tõenäoliselt oleks vaja tulemüüri igasse masinasse, kuid see tulemüür peaks lisaks olema suht spetsiifiline - ta peaks filtreerima reply pakette, lubama ainult DHCP serveri IP'lt (või MACilt) broadcastile reply pakette udp67,68 portide vahel. Ma isegi ei tea mis tulemüür seda suudaks - windowsi enda oma mitte, kasperskyte ja muude taoliste omad samuti mitte. Järgmine probleem oleks kohe selles, et sellise otstarbega tulemüüri investeering peab jääma reaalsuse piiresse (ei saa ju ainult selle eesmärgiga varustada tohutu hulk masinaid mingi üüratu kalli tarkvaraga). Teisest küljest jälle on sellise liba-DHCP serveri salaja toppimine kuhugi ju ideaalne sabotaaz näiteks konkurendi kontorisse. Olen kuulnud ka et mingitel kallimatel switchidel on selline filter täitsa olemas, kuid ka see tähendaks investeeringut (vahetada kõik switchid välja).
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
High-Q
HV Guru
liitunud: 11.11.2001
|
03.04.2009 17:07:49
|
|
|
oskab ka L2, aga vastavad funktsioonid peavad toetatud olema.
dhcp-snoopingut peaks ka keskmise taseme seadmed (st siiski neljakohaline summa per device) oskama.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
High-Q
HV Guru
liitunud: 11.11.2001
|
04.04.2009 13:57:49
|
|
|
kas procurve 2610 on high-end switch? keskmine letihind on sellel u 6000 kr (hetkel muidugi promo tõttu, muidu vast u 20% kallim)
|
|
tagasi üles |
|
|
Angrist
HV kasutaja
liitunud: 23.09.2004
|
04.04.2009 15:55:53
|
|
|
Ainuke asi mis MS vahenditest pähe tuleb on sisse lülitada IP-Sec. A ma võin selles eksida ka, sest ma ei tea kas IPSEC lülitub sisse enne või pärast IP kättesaamist. Ja on ka paras hambaaugu ravimine rektaalse avavuse kaudu.
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
04.04.2009 23:13:56
|
|
|
High-Q kirjutas: |
kas procurve 2610 on high-end switch? keskmine letihind on sellel u 6000 kr (hetkel muidugi promo tõttu, muidu vast u 20% kallim) |
Aga äkki on olemas kohe mingi vabavara tarkvara tulemüürindus, kokkuhoid ikkagi märgatav sel juhul.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
05.04.2009 10:37:47
|
|
|
BReaK da iCE kirjutas: |
vaegkuulja, vabavaraline võrguswitch!? Nalja teed, eksole...
Ainuke reaalne viis ennast kaitsta liba-dhcp servude vastu on switchi vastav tarkus.
Teoorias peaks olema võimalik ka selline variant, et kui tööjaamad üksteist nägema ei pea siis ajad iga pordi eraldi VLAN'i ja õige DHCP server/tulemüür on ainus masin, mida nad kõik näevad...
|
Mis see switch siia puutub, vaja on ainult blokeerida udp 67,68 portide vahelist liiklust suvaliselt IP'lt. Võrgumasinate üksteisenägemine ei puutu ka asjasse.
|
|
tagasi üles |
|
|
kännuämmelg
HV Guru
liitunud: 27.08.2002
|
05.04.2009 12:23:06
|
|
|
vaegkuulja kirjutas: |
Mis see switch siia puutub, vaja on ainult blokeerida udp 67,68 portide vahelist liiklust suvaliselt IP'lt. Võrgumasinate üksteisenägemine ei puutu ka asjasse. |
no liiklust keelata saab ikka asjaga, millest liiklus läbi käib... Või loodad ehitada mingi "summuti", mis ajab mööda võrku ebasobivaid pakke taga ja need ära tapab?
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
05.04.2009 12:52:33
|
|
|
kännuämmelg kirjutas: |
vaegkuulja kirjutas: |
Mis see switch siia puutub, vaja on ainult blokeerida udp 67,68 portide vahelist liiklust suvaliselt IP'lt. Võrgumasinate üksteisenägemine ei puutu ka asjasse. |
no liiklust keelata saab ikka asjaga, millest liiklus läbi käib... Või loodad ehitada mingi "summuti", mis ajab mööda võrku ebasobivaid pakke taga ja need ära tapab? |
Iga töömasina liiklus täibki ju läbi selle töömasina võrgukaardi. Seda liiklust aga saab reguleerida selles töömasinas asuva tarkvara abil.
|
|
tagasi üles |
|
|
Nickelby
Kreisi kasutaja
liitunud: 29.10.2002
|
05.04.2009 13:00:41
|
|
|
Olen küll võrguasjades võhik, aga minu loll loogika näeks hetkel, et kui switch oskaks selle asja mis sul vaja nüüd ära piirata, suunata vms ise ära teha siis need masinad mis sellest switchist seespool on peaks turvatud olema? Või?
_________________ Have A nice Day! |
|
tagasi üles |
|
|
kännuämmelg
HV Guru
liitunud: 27.08.2002
|
05.04.2009 13:09:10
|
|
|
vaegkuulja kirjutas: |
Iga töömasina liiklus täibki ju läbi selle töömasina võrgukaardi. Seda liiklust aga saab reguleerida selles töömasinas asuva tarkvara abil. |
ma Sain aru, et Sind häirib illegaalne tegevus, seega arvasin, et Sul pole vahendeid/võimalusi illegalide leidmiseks/korralekutsumiseks..
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
05.04.2009 13:32:39
|
|
|
Nickelby kirjutas: |
Olen küll võrguasjades võhik, aga minu loll loogika näeks hetkel, et kui switch oskaks selle asja mis sul vaja nüüd ära piirata, suunata vms ise ära teha siis need masinad mis sellest switchist seespool on peaks turvatud olema? Või? |
Loomulikult oleks switchida abil seda teha kõige mugavam, turvalisem ja korrektsem, kui küsimus on ikkagi just selles paaris tuhandes switchi hinnas ja switche oleks vaja rohkem kui üks. Kokku saaks hoida paraja kopsaka raha, kui jätta switchid vahetamata ja selle asemel varustada iga töömasin mõne taolise vabavaralise filtriga. Asjal oleks mõtet ainult siis, kui selle tarkvara eest ei peaks sentigi välja käima, vastasel juhul oleksid switchid otstarbekam.
kännuämmelg kirjutas: |
ma Sain aru, et Sind häirib illegaalne tegevus, seega arvasin, et Sul pole vahendeid/võimalusi illegalide leidmiseks/korralekutsumiseks.. |
Muidugi saab ka neid liba-dhcp servereid leida jälitustegevuse kaudu, käies läbi switchide logid ja juhet pidi leida üles pahandust tegev masin. Aga selline jälitustegevus läheks veelgi rohkem maksma töötasudena ja hästi ei viitsiks ka öösel üles tõusta ja kontorisse roomata.
IP-saab muidugi teada kohe, ainult pea võimatu on teada kus füüsiliselt majapeal (või suurema võrgu puhul mis tänaval või linnas üldse) asub sellise IP-ga masin. Palju lihtsam on juba eos tõkestada isehakanud illegaalsed liba-dhcp serverid. Kusjuures enamal juhul need liba-dhcp serverid polegi kliendi poolt teadlikult või pahatahtlikult üle pandud, näiteks klient installib kasvõi mingi mobiiltelefoni tarkvara mis sisaldab dhcp serverit.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
05.04.2009 15:46:49
|
|
|
BReaK da iCE kirjutas: |
vaegkuulja kirjutas: |
Mis see switch siia puutub, vaja on ainult blokeerida udp 67,68 portide vahelist liiklust suvaliselt IP'lt. Võrgumasinate üksteisenägemine ei puutu ka asjasse. |
Sa tahad siis igasse tööjaama midagi sellist installida? Kah variant, kuigi mulle tundub, et suurema töömahuga. Oleneb muidugi ka tööjaamade arvust... Poolesaja masinaga võrgus seda käsitsi tegema hakates kulub tööaega juba selle 2600series switchi hinna jagu.
Sinu probleemid lahendaks suurepäraselt VLAN'id. Eriti veel olukorras, kus sul puudub kontroll ja voli arvestatava osa masinate üle.
|
Miks see install peaks probleem olema, seda ei pea ju üldse käsitsi tegema. GPO abil toimub install automaatselt.
|
|
tagasi üles |
|
|
kännuämmelg
HV Guru
liitunud: 27.08.2002
|
05.04.2009 15:59:39
|
|
|
vaegkuulja kirjutas: |
Miks see install peaks probleem olema, seda ei pea ju üldse käsitsi tegema. GPO abil toimub install automaatselt. |
mulle jääb midagi arusaamatuks.. ühelt poolt väidad, et Su omskist obinitsani ulatuvas võrgus on masinad, mille teenuseid Sa kontrollida ei saa ja kus kodanikel on voli installida midaiganes++ ja teisalt on kenasti üles seatud AD
|
|
tagasi üles |
|
|
High-Q
HV Guru
liitunud: 11.11.2001
|
06.04.2009 11:14:14
|
|
|
imho selline softilahendus ei päästa eriti.
windows serveri NAP dhcp enforce on üks variant, aga see on vast veel kallim ja antud olukorras overkill, lisaks veel nõuaks see 802.1x toetavaid võrguseadmeid ja tulemuseks eeldatavasti sama seis.
alati on variant tööjaamale mingi tsentraalse managementiga (ja tsentraalsete policyte laialisaatmisega) antiviirus/tulemüürisoft, mis lubaks teatud portidel liikluse ainult kindla IP peale, aga eeldan, et sellise lahenduse hind jääb tublisti üle switchide soetamisele. keskmine säärane AV soft läheb maksma 3 aasta peale u 500 kr per masin, mis 24 masina puhul (võrdleme ühe switchiga) tähendaks ligi 2 korda suuremat hinnavahet võrreldes switchi põhisele turvalisuse.
Pealegi on säärane asi võimalik rakendada ainult püsivalt selles võrgus olevatele masinatele ehk lauaarvutitele, kuid sülekatele, mis mööda erinevaid võrke ringi rändavad, säärast piirangut panna ei saa.
muidugi eeliseks on iga arvuti viirusetõrje softi olemasolu, mis windows keskkonnas niivõinaa kohustuslik on.
eraldi vlan-id ei ole sugigi hea idee, sest eeldan, et ees olev ruuter ei ole teps mitte super-klassist ja kõige kolhoosi võrguliikluse ajamine läbi lihtsa layer3 ruuteri paneks tolle kergelt öeldes sussid püsti, sest ruuter on mõeldud liikluse juhtimiseks, mitte bittide transportimiseks. lisaks eeldan, et sellise arvu vlanide majandamine ja üleüldse võimalus on kaheldav.
tooks paralleeli ehitusega: kui sul ikka betoonseina auku puurida vaja, siis kasutad selleks lööktrelli. võid ju käsi- või akutrelliga nühkida, vahepeal meisli vms peksta. vb väikse tüübli jaoks võid tulemuse saavutada, aga kas asi on seda väärt?
moraal: iga töö jaoks oma tööriist.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
06.04.2009 13:20:36
|
|
|
High-Q kirjutas: |
Pealegi on säärane asi võimalik rakendada ainult püsivalt selles võrgus olevatele masinatele ehk lauaarvutitele, kuid sülekatele, mis mööda erinevaid võrke ringi rändavad, säärast piirangut panna ei saa.
|
Saaks teha mingi scripti, et kui pole konkreetses sisevõrgus, siis see filter üldse ei käivituks. Aga mõte oleks ikka ainult siis, kui see filter oleks tasuta. Skript peaks muidugi enne testima mis võrgus masin on (enne kui saab lõplikult DHCP käest IP) ja alles siis saaks valida, kas rakendada seda filtrit IP saamiseks või mitte. Eks ta lähe jah natuke keeruliseks ja pornoks kätte.
|
|
tagasi üles |
|
|
High-Q
HV Guru
liitunud: 11.11.2001
|
06.04.2009 13:53:22
|
|
|
taoliste skriptide progemise hind võib kokkuvõttes hulgi kallim tulla (kui keegi just harrastuse pärast seda ei tee) kui switchi-paari soetamine.
tõesti, mitme firma situatsioonis on erinevate vlanide kasutamine vajalik (isegi põhimõtte pärast, mitte ainult turvalisuse/privaatsuse), seega see oleks prioriteet nr 1: jagada võrgud väiksemateks loogilisteks võrkudeks. sellega kaasneb üks aga: ruuter peab olema võimeline mitme vlani samaaegset ruutimist ning switchid vlani toega (või füüsiliselt täitsa eraldatud mittemanageeritavad, st igale vlanile eraldi switch ja ruuteris eraldi port, sellisel puhul pole switchile tarkust vaja).
see vähemalt säästaks teisi kasutajaid, kui keegi oma risu võrku topib ja serverit mängima hakkab.
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
06.04.2009 14:01:20
|
|
|
High-Q kirjutas: |
taoliste skriptide progemise hind võib kokkuvõttes hulgi kallim tulla (kui keegi just harrastuse pärast seda ei tee) kui switchi-paari soetamine.
tõesti, mitme firma situatsioonis on erinevate vlanide kasutamine vajalik (isegi põhimõtte pärast, mitte ainult turvalisuse/privaatsuse), seega see oleks prioriteet nr 1: jagada võrgud väiksemateks loogilisteks võrkudeks. sellega kaasneb üks aga: ruuter peab olema võimeline mitme vlani samaaegset ruutimist ning switchid vlani toega (või füüsiliselt täitsa eraldatud mittemanageeritavad, st igale vlanile eraldi switch ja ruuteris eraldi port, sellisel puhul pole switchile tarkust vaja).
see vähemalt säästaks teisi kasutajaid, kui keegi oma risu võrku topib ja serverit mängima hakkab. |
Aga ma ei saa aru mida see VLAN üldse asjasse puutub - samas VLANis saab DHCP ikka siga teha ju. Kes ütleb et paharet peaks olema teises VLANis, samahästi võib ta olla ka samas. See siis oleks ju ainult poolik lahendus. Aga scripti teeks tõesti huvi pärast, täitsa põnev ju.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
06.04.2009 14:57:21
|
|
|
BReaK da iCE kirjutas: |
vaegkuulja, kui sa ikka iga kliendi topid oma võrguga eraldi vlan'i siis ainus, kellele ta siga saab teha on ta ise. Kedagi teist see ei koti. |
Aga kui üldse ei ühendaks võrku, siis samuti, isegi VLANi pole tarvis.
|
|
tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
tagasi üles |
|
|
|
lisa lemmikuks |
|
|
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|