Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ну не совсем революционность,никто и не говорит про революционность... 01.04.04 17:24 Число просмотров: 5824
Автор: Андрей Орлов Статус: Незарегистрированный пользователь
|
> Насроить DHCP сервер на привязку MAC-IP вроде можно, сам я > этого не делал (не админ я) но от других слышал - народ > делал такое.
Конечно можно, только такая настройка не защитит от полученных статических адресов на тот же самый IP, например с другим МАС-ом. Сервер не разработан как система 100% защиты от хакеров, зато он здорово помогает упорядочить разрастающиеся хаотически домашние сети.
>И чем тогда именно ваш сервер лучше обычного
Тем, что контролирует статическое выделение и может строить графики присутствия хостов в сети.
Еще блокирует сторонние DHCP. К тому же фиксирует 2 системы с одинаковыми IP и МАС.
> ведь злоумышленник прекрасно может поменять как MAC, так и > имя своего компа. Причем второе - делается легче первого > (по кр мере если уже смог поменять МАК адрес то имя компа > точно сможешь).
Опять же речь не идет о хакерах, а не зная о существовании такой системы, обычно не станут менять и имя( и ОС, например)
>Что касается клиентских программ - никаких
> гарантий что злоумышленник не удалил их перед входом в сеть > нету.
Удалил клиента - не попал в сеть!
> Что касается блокировки смены адреса путем посылки > арп ответа - так это легко обходится хацкером путем > физического вытягивания сетевого шнура из хаба (главное > чтоб сетевуха не определяла физическое отключение - иначе > интерфейс отключится а затем при подключении проверит > занятость ИП и не разрешит использование занятого) при > смене ИПшника и МАК и загрузке системы. После того как > система загрузится, она удостоверится что она одна такая в > сети (больше никого то и нет - сеть отключена), и потом > хакер подключается к сети физически.
Я честно говоря не видел сетевух скоростей больше 10 Мб, которые не определяли бы отключение питания и не сообщали бы системе, возможно ошибаюсь :-)
>Единственное - ваша
> система (в будущем, с сертификатами) дает возможность > оповещения о нелегальном поключении определенного МАК > адреса и ИПшника, но это не избавляет от необходимости > бегать и искать гада.
По поводу бегать и искать я сейчас анализирую среднии скорости прохождения пингов, может они могут помочь определить хаб.
> Да и обычно оно сразу само заметно > становится без дополнительного подтверждения цифровыми > сертификатами - при появлении второй системы с такими же ИП > и МАК начнутся глюки на обоих системах.
Про глюк на своей системе Вам могут и не сказать, глюков при использовании концентраторов может и не быть!
> Потому самый надежный способ защиты от хацкеров в локалках > - управляемые свичи с возможностью жесткого закрепления МАК > адресов за определенными портами.
Совершенно верно, только они стоят дороже. И не всегда надежны на 100%
Спасибо за сообщение, приятно видеть, что кому-то интересна тема.
|
|
|