The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Защита от атак против DHCP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Защита от атак против DHCP"  
Сообщение от opennews (??) on 02-Дек-08, 14:37 
DHCP snooping - функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику.

На странице (http://xgu.ru/wiki/DHCP_snooping) подробно описывается принцип действия метода DHCP snooping, а также процедура настройки коммутаторов HP ProCurve и Cisco для использования этого метода.

URL: http://xgu.ru/wiki/DHCP_snooping
Новость: http://www.opennet.ru/opennews/art.shtml?num=19188

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Защита от атак против DHCP"  
Сообщение от Аноним (??) on 02-Дек-08, 14:37 
респект автору.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Защита от атак против DHCP"  
Сообщение от Dyr email(??) on 02-Дек-08, 19:08 
Там несколько автором, вики же. Даже я там приложился =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Защита от атак против DHCP"  
Сообщение от xguru on 03-Дек-08, 00:20 
В этой вроде нет:

http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&acti...
http://xgu.ru/w/index.php?title=%D0%A1%D0...

Но вообще да, спасибо большое, особенно за SSH.

Если делаете большой вклад в страничку,
если что, не стесняйтесь ставить себя автором.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Защита от атак против DHCP"  
Сообщение от xguru on 03-Дек-08, 00:22 
>В этой вроде нет:
>
>http://xgu.ru/w/index.php?title=DHCP_snooping&limit=500&acti...
>http://xgu.ru/w/index.php?title=%D0%A1%D0...
>
>Но вообще да, спасибо большое, особенно за SSH.
>
>Если делаете большой вклад в страничку,
>если что, не стесняйтесь ставить себя автором.

За ARP-spoofing тоже, кстати.

Невнимательно посмотрел.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Защита от атак против DHCP"  
Сообщение от Arti (??) on 03-Дек-08, 14:08 
Честно говоря я не понял преимущества  DHCP snooping, по карайней мере в этой статье они не раскрыты (неудачный пример топологии ?).

Проще тогда запретить при помощи ACL работу DHCP-серверов на клиентских портах, а запросы DHCP релеить в отдельный vlan например в "управленческий".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Защита от атак против DHCP"  
Сообщение от xguru on 03-Дек-08, 15:08 
ACL'ами всю логику DHCP-snooping'а будет прописать довольно сложно.

Например, как прописать такое:

Отбросить пакет, если он пришёл через ненадёжный (untrusted) порт,
если он содержит сообщение DHCPRELEASE или DHCPDECLINE с MAC-адресом из базы данных привязки DHCP, но информация об интерфейсе в таблице не совпадает с интерфейсом, на котором был получен пакет?

То есть, грубо говоря, адрес мы выдали одному,
а отказывается от него другой через другой порт.
Как это запретить ACLами?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Защита от атак против DHCP"  
Сообщение от Arti (??) on 03-Дек-08, 15:48 
Привязывать к MAC идея изначально плохая, хотя возможно и есть случаи когда это делать необходимо.

Привязку луше делать через поля 82-й опци DHCP.

Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт.

Вот строить ACL на основании DHCP-relay или привязывать MAC к порту - это более на мой взгляд интересно, правда оговорюсь, говорить об этом без конкретной схемы сети бесполезно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Защита от атак против DHCP"  
Сообщение от xguru on 03-Дек-08, 19:51 

> Если привязка сделана через 82 опцию (к порту свича) такая атака мало эффективна, по большому сету можно вообще не обрабатывать DHCPRELEASE на сервере, если схема один адрес - один порт.

Я не совсем понял, вы предлагаете вообще MAC-адреса не использовать при выдаче IP-адресов
DHCP-сервером, а ориентироваться только на порт коммутатора?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Защита от атак против DHCP"  
Сообщение от Arti (??) on 04-Дек-08, 11:25 
Если политика один "порт - один адрес" то да, привязывать к MAC смысла я не вижу.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Защита от атак против DHCP"  
Сообщение от pavlinux (ok) on 03-Дек-08, 21:50 
Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который смотрит интернет???
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Защита от атак против DHCP"  
Сообщение от xguru on 04-Дек-08, 00:55 
>Можно вопрос, а что за идиоты открывают DHCP на внешнем порту, который
>смотрит интернет???

А где там инет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру