Для передотвращения появления бродкаст-шторма, да и снифферы списать на нет, можно использовать статическую ассоциацию IP и MAC.
Для передотвращения появления бродкаст-шторма, да и снифферы списать на нет, можно использовать статическую ассоциацию IP и MAC.
Гы. Я тоже когда-то так думал. :) Смешно :lol: Извините :oops:
Начнем разбираться? :?:
Первое - при статической ассоциации IP и MAC (которая подразумевает статическуй IP-адресацию), WINS нах не нужен - достаточно ДНС :wink: Тем более что ДНС все равно придется поднимать, поскольку резолвит имена из инета именно он - значит нет ДНС - нет нормального инет (я молчу про траффик на намед прова, если имена не кешируются на роутере, а запросы от клиентов натятся прямо к прову, кстати зачем тогда роутер?).
Второе. Даже при 100 компах ассоциация IP-MAC является довольно прикольной задачей. Апгрейды сетевух, например :mrgreen: Плюс есть прекрасная возможность (очень малоизвестная, к сожалению) по подмене MAC-адреса. Набери в гугле "faking MAC-address" и пошарься. Кроме того без нормального разруливания траффика на транспортном уровне (вплоть до физического) с сетки можно снять всю инфу по ассоциации IP-MAC и пользовать ее в своих целях, причем делается это банальным прослушиванием траффика. Чтобы не досаждать вас теорией, ссылку на которую я забыл - приведу практический пример немного другого способа решения данной проблемы. Так сказать без долгих разговоров сразу в студию. Делаешь следующее:
ping
arp -a
И таким образом по всей сети. И видишь все ассоциации. После чего подменой MAC и IP (см гуглю) формируешь фальшивый роутер, фальшивый ДНС-сервер и т.д. И балуешься по самое не балуйся, свичи сходят с ума по поводу маршрутов, заваливая всех броадкастами, а ты не можешь понять, что у тебя под носом происходит... Я думаю ты понимаешь, что данная последовательность команд не требует глубокого ума и прекрасно, а главное - компактно - алгоритмизуется и кодируется :twisted:
Третье. Допустим у нас стоят простенькие свитчики, дешевенькие и сердитенькие. SNMP еще никто не отменял, и первый подходящий троян или придурошный кулхацкер внутри сети совершенно спокойно может вызвать систематическую перезагрузку таблиц маршрутизации в этих самых свитчиках, а в силу вышеуказанного пункта - сделать это от имени админской машинки, да еще и с ее MAC-адресом :twisted: Вот тебе и броадкасты по самое не балуйся :wink:
Четвертое. Самое интересное, что контроль MAC-адресов может защитить от снифа только траффик между клиентом и роутером, но не между двумя клиентами. Соответственно достаточно какому-нибудь дебилу заставить свою машинку кричать, что она всех главнее (например, нагло поднять на ней контроллер домена) и она за%%ет своими широковещательными запросами всю сетку :roll: Единственная возможность избавиться от таких приколов - это контроль IP-MAC-ассоциации на всех машинках в сети, что как ты понимаешь, нереально. Особенно с учетом того, что это домашняя сетка, следовательно в отличие от оффиса прямого доступа к компам в удобное время админ не имеет и яйца юзерам вырывать не может :roll:
Вывод - для того, чтобы защитить большую сетку от таких приколов, необходимо взять солидные свичи с VLAN, правильно их сконфигурировать, а разруливание траффика не считать простой и тривиальной задачей...
В любом случае - начиная от просто раздачи инета и заканчивая локальными сетками с NetBt - достижение необходимого компромисса между безопасностью и производительностью включает в себя массу нетехнических вопросов и всегда достигается очень непростыми методами...
1) DDNS + MAC-based DHCP + SARP на сервера рулят... Я раздвал конфу SARP через NFS, но что-то мне подсказывает, что это можно сделать с помощью yellowpages (NIS)
Ну вопрос сбор адресов для SARP решается просто - для начал собирается статистика при помощи arpwatch, из которой запросто генерится конфиг для SARP. Вопросы "поменялась сетевеха" решаются просто - позвонил админу и сказал.
2) Пидорасия с подменой MAC адресов решает примерно тем же оборудованием что и VLAN. Веесьма недешевым.
3) Простенькие свитчики с SNMP? А можно таких пару по $40 - $50 хотя б на 8 портов ;)
Если уж там есть SNMP, то есть вероятно возможность писать фильры. Остается нахренячить скрипт, который будет довать доступ в сеть с порта тлько "известному" адресу....
Вывод - если есть бабло на VLAN-capable, то ИМХО можно из без них обойтись... А можно и с ними, конечно... ;)
K9
Подмена МАСов решается переходом от подсчета инета по МАС адресам на VPN подключение. Да это шаг непопулярный очень гемморный, но позволяет больше съэкономить денег. И никаких мегасвитчей покупать не надо. Внутри используется WINS и DHCP, нафиг внутрнний DNS если в инет выход через VPN? Кстати Демон Самба позволяет винсы эти самые настраивать. Достаточно его просто поставить на роутер с DHCP.
Гы. Я тоже когда-то так думал. :) Смешно :lol: Извините :oops:
Начнем разбираться? :?:
Первое - при статической ассоциации IP и MAC (которая подразумевает статическуй IP-адресацию), WINS нах не нужен - достаточно ДНС :wink: Тем более что ДНС все равно придется поднимать, поскольку резолвит имена из инета именно он - значит нет ДНС - нет нормального инет (я молчу про траффик на намед прова, если имена не кешируются на роутере, а запросы от клиентов натятся прямо к прову, кстати зачем тогда роутер?).
Второе. Даже при 100 компах ассоциация IP-MAC является довольно прикольной задачей. Апгрейды сетевух, например :mrgreen: Плюс есть прекрасная возможность (очень малоизвестная, к сожалению) по подмене MAC-адреса. Набери в гугле "faking MAC-address" и пошарься. Кроме того без нормального разруливания траффика на транспортном уровне (вплоть до физического) с сетки можно снять всю инфу по ассоциации IP-MAC и пользовать ее в своих целях, причем делается это банальным прослушиванием траффика. Чтобы не досаждать вас теорией, ссылку на которую я забыл - приведу практический пример немного другого способа решения данной проблемы. Так сказать без долгих разговоров сразу в студию. Делаешь следующее:
ping
arp -a
И таким образом по всей сети. И видишь все ассоциации. После чего подменой MAC и IP (см гуглю) формируешь фальшивый роутер, фальшивый ДНС-сервер и т.д. И балуешься по самое не балуйся, свичи сходят с ума по поводу маршрутов, заваливая всех броадкастами, а ты не можешь понять, что у тебя под носом происходит... Я думаю ты понимаешь, что данная последовательность команд не требует глубокого ума и прекрасно, а главное - компактно - алгоритмизуется и кодируется :twisted:
Третье. Допустим у нас стоят простенькие свитчики, дешевенькие и сердитенькие. SNMP еще никто не отменял, и первый подходящий троян или придурошный кулхацкер внутри сети совершенно спокойно может вызвать систематическую перезагрузку таблиц маршрутизации в этих самых свитчиках, а в силу вышеуказанного пункта - сделать это от имени админской машинки, да еще и с ее MAC-адресом :twisted: Вот тебе и броадкасты по самое не балуйся :wink:
Четвертое. Самое интересное, что контроль MAC-адресов может защитить от снифа только траффик между клиентом и роутером, но не между двумя клиентами. Соответственно достаточно какому-нибудь дебилу заставить свою машинку кричать, что она всех главнее (например, нагло поднять на ней контроллер домена) и она за%%ет своими широковещательными запросами всю сетку :roll: Единственная возможность избавиться от таких приколов - это контроль IP-MAC-ассоциации на всех машинках в сети, что как ты понимаешь, нереально. Особенно с учетом того, что это домашняя сетка, следовательно в отличие от оффиса прямого доступа к компам в удобное время админ не имеет и яйца юзерам вырывать не может :roll:
Вывод - для того, чтобы защитить большую сетку от таких приколов, необходимо взять солидные свичи с VLAN, правильно их сконфигурировать, а разруливание траффика не считать простой и тривиальной задачей...
В любом случае - начиная от просто раздачи инета и заканчивая локальными сетками с NetBt - достижение необходимого компромисса между безопасностью и производительностью включает в себя массу нетехнических вопросов и всегда достигается очень непростыми методами...
Ну вопрос сбор адресов для SARP решается просто - для начал собирается статистика при помощи arpwatch, из которой запросто генерится конфиг для SARP. Вопросы "поменялась сетевеха" решаются просто - позвонил админу и сказал.
2) Пидорасия с подменой MAC адресов решает примерно тем же оборудованием что и VLAN. Веесьма недешевым.
3) Простенькие свитчики с SNMP? А можно таких пару по $40 - $50 хотя б на 8 портов ;)
Если уж там есть SNMP, то есть вероятно возможность писать фильры. Остается нахренячить скрипт, который будет довать доступ в сеть с порта тлько "известному" адресу....
Вывод - если есть бабло на VLAN-capable, то ИМХО можно из без них обойтись... А можно и с ними, конечно... ;)
Подмена МАСов решается переходом от подсчета инета по МАС адресам на VPN подключение. Да это шаг непопулярный очень гемморный, но позволяет больше съэкономить денег. И никаких мегасвитчей покупать не надо. Внутри используется WINS и DHCP, нафиг внутрнний DNS если в инет выход через VPN? Кстати Демон Самба позволяет винсы эти самые настраивать. Достаточно его просто поставить на роутер с DHCP.