Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki 1 do 10 z 22

Temat: dhcp = good idea?

  1. #1
    Zarejestrowany
    Aug 2009
    Postów
    408

    Domyślnie dhcp = good idea?

    zastanawiam sie czy dhcp jest dobrym rozwiazaniem w sieci.
    Czy nie lepiej przydzielac statycznych adresow, albo skozystac z PPP.

    Co o tym myslicie? Przeciez dhcp mozna spoofowac do woli, mozna wykozystac wszystkie adresy i juz nikt sie nie podlaczy.

    Czy ppp bylo by lepsze, oczywiscie jesli router je obsluguje?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    PPP to polaczenie punkt-punkt, teoretycznie wykonalne ale to marnotrawstwo adresow, bo kazdy z koncow ma swoj adres IP i oba musza byc w tej samej podsieci okreslonej odpowiednia maska, tak wiec majac np siec /24 czyli 256 adresow IP, robiac DHCP dajesz routerowi 1 adres IP, 1 to siec, 1 to broadcast... czyli zostaje Ci 253 adresy na komputery klienckie...

    Uzywajac PPP masz max 128 klientow, bo dla kazdego klienta serwer ma kolejny adres IP...

    Serwer, Klient
    .1, .2
    .3, .4
    .5, .6
    itd... wiec sam serwer zajmie 128 adresow IP z danej puli adresowej.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    Cytat Napisał rax666 Zobacz post
    zastanawiam sie czy dhcp jest dobrym rozwiazaniem w sieci.
    Czy nie lepiej przydzielac statycznych adresow, albo skozystac z PPP.

    Co o tym myslicie? Przeciez dhcp mozna spoofowac do woli, mozna wykozystac wszystkie adresy i juz nikt sie nie podlaczy.

    Czy ppp bylo by lepsze, oczywiscie jesli router je obsluguje?
    A co ma PPP z DHCP ? Wszystko zalezy od sieci. DHCP jednak daje wygode jak masz wieksza ilosc komputerow nie musisz do nich latac, nie kazdy user potrafi sobie wpisac statycznie IP nawet jak dostanie opis.

    A co do bezpieczenstwa to tutaj tez wszystko zalezy od rozwiazania sieci. Ktos majacy statyczny adres tez moze sobie go podmienic

    Generalnie stosujac np. zasade kazde urzadzenie to osobny port switch-a (ale nie zabawki) + dot1x + kilka innych pierdul i zapomnij ze jakikolwiek numer ze spofowaniem zatruwaniem ARP itd. ci przejdzie... Dostaniesz shutdown portu w switchu i tyle - dzwonisz do admina co by ci go wlaczyl.
    --
    ToM's Super Fix IT "No Fucking Problem"

  4. #4
    Zarejestrowany
    Aug 2009
    Postów
    408

    Domyślnie

    Czyli lepiej robic statyczne adresy, tak?
    A dhcp sobie moze dzialac dla gosci, jesli jest taka potrzeba.


    BTW: jak wylaczyc MDNS pod linuxem? To scierwo zawala mi caly screen jak polacze sie do jakiejs sieci.

    A co do bezpieczenstwa to tutaj tez wszystko zalezy od rozwiazania sieci. Ktos majacy statyczny adres tez moze sobie go podmienic
    a co ma podmiana wlasnego adresu do tematu?
    pisze o przypadku ze ktos postawi wlasny serwer DHCP i bedzie rozsylal adres bramy = swoj adres, wiec bedzie mogl snifowac wszsytko co wychodzi z sieci.

    Dostaniesz shutdown portu w switchu i tyle - dzwonisz do admina co by ci go wlaczyl.
    no, i 2 osoby musza tracic czas bo jakis kretyn skonfigurowal urzadzenie.
    jak ja takiego podejscia nienawidze...
    Ostatnio edytowane przez rax666 : 12-03-2009 - 10:04

  5. #5
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    Cytat Napisał rax666 Zobacz post
    a co ma podmiana wlasnego adresu do tematu?
    pisze o przypadku ze ktos postawi wlasny serwer DHCP i bedzie rozsylal adres bramy = swoj adres, wiec bedzie mogl snifowac wszsytko co wychodzi z sieci.
    to sie zalatwia jedna komenda np. na cisco "ip dhcp snooping" i nic nie zrobisz...
    ...tzn. dostaniesz shutdown

    No to ja jestem takim kretynem co tak konfiguruje... a i nikt sie nie meczy to user czeka jak mi sie bedzie chcialo dupe ruszyc. Bo niestety nie dostaje sie tego za free...

    To sa wlasnie rozwiazania pewnych zabezpieczen, a nie wymyslanie jak spierd... dobre rozwiazania - pomyslami szalonego naukowca
    Ostatnio edytowane przez tom : 12-03-2009 - 10:12
    --
    ToM's Super Fix IT "No Fucking Problem"

  6. #6
    Zarejestrowany
    Aug 2009
    Postów
    408

    Domyślnie

    dla mnie dobre zabezpieczenie to takie ze czegos sie NIE DA, a nie ze armia ludzi musi tracic swoj czas na usowanie skutkow.

    I dlaczego router ethernetu zaglada pod warstwe ip, pff. Nie do niego to nalezy.
    Takie cos tylko komplikuje sprawe i ciezko sie polapac, i latwo popelnic blad, ale ciezko go znalezc.

  7. #7
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    Znowu ciebie nie rozumiem.

    1. Nie ma zabezpieczen ktorych nie mozna by obejsc - natomiast wiekszosc twoich pomyslow jak narazie wrecz by ulatwily czlowiekowi wlamanie itp.

    Ja sie z niczym nie musze meczyc to jest wlasnie zabezpieczenie. Jesli user odpali DHCP mogace zagrozic sieci to jest robiony shutdown czyli fizyczne odlaczenie usera. Znasz lepsze zabezpieczenie niz odciecie ?

    To samo dzieje sie w innych tego typu przypadkach. Nie jest tak ze odcina usera z byle powodu, jak jest grzeczny to nic mu sie nie dzieje, jak zaczyna kombinowac jest potencjalnym zagrozeniem i tutaj potrzebna jest juz ingerencja admina aby ocenic to zagrozenie. Niestety automat nie ma inteligencji czlowieka i stanowi tylko pewna prewencje, ot robi z automatu shutdown...




    Jesli chodzi o router to nie wiem o co ci biega chodzi ci o zagladanie do L2

    - mowie juz poraz setny (nie badz smierdzacym leniem) zapoznaj sie z modelem OSI bo robisz po woli z siebie posmiewisko (przynajmniej w moich oczach).
    Ostatnio edytowane przez tom : 12-03-2009 - 10:47
    --
    ToM's Super Fix IT "No Fucking Problem"

  8. #8
    Zarejestrowany
    Aug 2009
    Postów
    408

    Domyślnie

    Ja sie z niczym nie musze meczyc to jest wlasnie zabezpieczenie. Jesli user odpali DHCP mogace zagrozic sieci to jest robiony shutdown czyli fizyczne odlaczenie usera. Znasz lepsze zabezpieczenie niz odciecie ?
    znam.
    user laczy sie z routerem, router ma swoja pule IP i on przydziela IP odsylajac odpowiedz do klienta. Spoofing nie mozliwy bo podczas tej wymiany nie ma nawet jeszcze ip, nie mowiac o tym ze jest to na protokole typu PPP. Acha, router w taki sam sposob pobiera adresy od wyzszego routera, klient moze tez oczywiscie pobrac pule a nie 1 adres IP.

    Ale nie, gdyby tak bylo ludzie stracili by robote, po co zatrudniac admina za 10k skoro szef sam by sie polapal.


    model OSI znam, i chyba nawet lepiej od ciebie.
    wiem przynajmniej, ze jak wysylam ramke ip to port ethernet nie moze byc przez to ruszony. Ma odebrac, a za routing jest odpowiedzialna inna warstwa. Ja nie mieszam tego, to wy zachowujecie sie jak ja 2 lata temu gdy pisalem trojany pod windowsa - byle dzialalo.

  9. #9
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    1. routery nie przydzielaja najczesciej IP - mozna na nich robic DHCP ale to jest malo wygodne bo brak wiekszej kontroli.

    2. Poczytaj jak dziala 802.1x + dynamiczne VLAN-y

    3. Jesli myslisz o PPPOE to potrzebujesz jeszcze RADIUS-a

    4. Jakiekolwiek rozwiazanie nie wylkucza admina - routera sam sie nie skonfiguruje...

    5. Dalej jestes na poziomie sieci domowej - wiec masz prawo sie mylic. Poznaj profesjonalne rozwiazania.

    6. Oj duzo ci jeszcze wiedzy brakuje - jak bys znal model OSI to bys sie nie trzymal kurczowo okreslenia Ethernet tylko mowil dokladnie ze chodzi o dana warstwe modelu OSI. Do tego ja nie znam routerow ethernet (poza zabawkami ktore ty tak nazywasz). Kup sobie jakies router Cisco/Juniper - pobaw sie to zrozumiesz...

    Jak ja pisalem wirusy to ciebie za pewne na swiecie jeszcze nie bylo Do tego to my mowimy jak jest w realu "w prawdziwych sieciach", a nie wymyslamy czegos o czym nie mamy pojecia jak to usilujesz robic. Zamiast sie zabrac za nauke to wymyslasz jakies pierdoly. Dlatego to my sie zajmujemy wlasnie sieciami, a nie ty... bo bys polegl na pierwszej rozmowie kwalifikacyjnej i nie wiedzial co zrobic z routerem jak bys dostal znak zachety. Nie wspominajac jak bys mial zrobic jakas wieksza konfiguracje z czyms o czym nie masz pojecia (BGP, OSFP, VRF, MPLS, VTP, IVR, HSRP itd. mozna by wyliczac...)
    Ostatnio edytowane przez tom : 12-03-2009 - 12:13
    --
    ToM's Super Fix IT "No Fucking Problem"

  10. #10
    Zarejestrowany
    Aug 2009
    Postów
    408

    Domyślnie

    Tak bardzo fajne akronimy stworzone tylko po to byscie mieli robote.
    Jak ja bym robil siec to by dzialala szybciej, prosciej i bylaby duzo bardziej elastyczna.
    I bledy popelniali by kretyni, a nie nowi admini co dostaja w spadku jakiegos potwora.

    Podalem rozwiazanie:
    Siec jest polaczona z WAN przez 4 routery. Kazdy z nich ma rowna pule podrzednych adresow, ktore przekazuje routerom nizej.

    czyli:

    192.168.0.0/16 - to jest adres najwyzszego poziomu, laczacego z WAN.

    192.168.0.1/18
    192.168.1.1/18
    192.168.2.1/18
    192.168.3.1/18

    to sa te 4 routery ktora lacza siec z WAN.

    kazdy z nich tworzy jakas podsiec, wezmy przyklad 3:

    192.168.2.0/18 - adres podsieci tworzonej przez router nr 3.
    192.168.10.1 - adres jednego z klientow, tak sie sklada ze on jest routerem. Nalezy oczywiscie do sieci 192.168.2.0/18. (.00001010.)
    192.168.10.1 tworzy siec 192.168.10.0/20.
    i ma w pamieci adresy ktore moze przydzielic na nizsza siec.
    klienci tej podsieci to 192.168.10.2 (1 = router) - 192.168.250.254 (255 = bo nie).

    tzn router by trzymal i przydzialal IP klientom ktorzy sie do niego podlacza. Wyczerpanie zakresu? Nie - 1 ip na 1 port. Spoofing? Nie - 1 ip 1 port.

    A teraz? Gdzies w sieci dziala sobie conajmniej 1 dhcp, dostaje broadcasty po macu (sic!) i przydziala adresy wg wlasnego uznania. I nie mow ze to jest elastyczne, BO NIE JEST! TO JEST SREDNIOWIECZE!
    Ostatnio edytowane przez rax666 : 12-03-2009 - 12:38

Strona 1 z 3 123 OstatniOstatni

Podobne wątki

  1. problem z lanem.. chyba dhcp
    By ironwall in forum TCP/IP/Analiza/Badanie
    Odpowiedzi: 3
    Autor: 05-06-2015, 13:07
  2. Serwer DHCP
    By tyter in forum Wardriving
    Odpowiedzi: 14
    Autor: 05-30-2008, 16:58
  3. na luzie - bad idea...
    By eMCe in forum Off Topic
    Odpowiedzi: 4
    Autor: 04-29-2007, 22:18

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj