kenguru 1 Posted 2010-02-15 05:39:31 Share Posted 2010-02-15 05:39:31 Здрасти. Есть сетка из 38 абонентов, в сети 2 adsl модема. Оба модема могут могут работать как в режиме клиентов так и серверов DHCP. Настроены в режиме фиксированых IP. Стоит ли настраивать сетку в DHCP ? Как по мне плюсы DHCP - абоненты после сноса винды постоянно звонят и просят продиктовать настройки и узнают куда их вбивать, то есть проблема отпадет. Также в модемах предусмотрена функция альтернативного шлюза, то есть если пропадает adsl на одном он начинает ходит через другой. Реально ли это будет сделать через DHCP? Link to post Share on other sites
Queeq 0 Posted 2010-02-15 07:06:36 Share Posted 2010-02-15 07:06:36 Если пользователи все равны (нет разделения по тарифам и доступам) - имеет смысл делать DHCP. Link to post Share on other sites
BUM 242 Posted 2010-02-15 08:20:05 Share Posted 2010-02-15 08:20:05 On 2/15/2010 at 7:06 AM, Queeq said: Если пользователи все равны (нет разделения по тарифам и доступам) - имеет смысл делать DHCP. а если не равны? ) каким боком DHCP к тарифам и доступам? Link to post Share on other sites
Queeq 0 Posted 2010-02-15 08:26:05 Share Posted 2010-02-15 08:26:05 Если равны - то всё равно кому какой давать IP. Если не равны - надо озаботиться, чтобы к юзеру был привязан его IP, а также, чтобы особо умные не могли его перехватить/подсунуть левый шлюз/DNS и т.д. Link to post Share on other sites
nickolayenko 5 Posted 2010-02-16 08:47:59 Share Posted 2010-02-16 08:47:59 а ип к маку привязать что трудно? в настройках дхцп это делается без проблем.... Link to post Share on other sites
Queeq 0 Posted 2010-02-16 08:54:20 Share Posted 2010-02-16 08:54:20 On 2/16/2010 at 8:47 AM, nickolayenko said: а ип к маку привязать что трудно? в настройках дхцп это делается без проблем.... Это помешает злоумышленнику поставить DHCP сервер, который может выдать клиенту неверные настройки? Не имея дорогущих свичей, умеющих блочить левые DHCP сервера (DHCP Snooping в цисковской терминологии) - не помешает. Link to post Share on other sites
Pretender 5 Posted 2010-02-16 09:13:14 Share Posted 2010-02-16 09:13:14 Queeq есть програмулина dhcp drop она как бы справляется с тем, чтобы не появлялось "левых" дхцп Link to post Share on other sites
Queeq 0 Posted 2010-02-16 09:22:42 Share Posted 2010-02-16 09:22:42 (edited) Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку. Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь. Ну разве что иметь фильтрацию IP+MAC на порту. З.Ы. Корректное название - dhcdrop. З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп. Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника. Edited 2010-02-16 09:32:42 by Queeq Link to post Share on other sites
kenguru 1 Posted 2010-02-16 17:41:36 Author Share Posted 2010-02-16 17:41:36 On 2/16/2010 at 9:22 AM, Queeq said: Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку. Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь. Ну разве что иметь фильтрацию IP+MAC на порту. З.Ы. Корректное название - dhcdrop. З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп. Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника. Не пойму для чего эти все выдумки, если скорость можно резать на свечах, и точно также отключать не оплативших... Link to post Share on other sites
Queeq 0 Posted 2010-02-16 20:40:24 Share Posted 2010-02-16 20:40:24 On 2/16/2010 at 5:41 PM, kenguru said: On 2/16/2010 at 9:22 AM, Queeq said: Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку. Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь. Ну разве что иметь фильтрацию IP+MAC на порту. З.Ы. Корректное название - dhcdrop. З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп. Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника. Не пойму для чего эти все выдумки, если скорость можно резать на свечах, и точно также отключать не оплативших... Мы тут, вообще-то, про небезопасность использования DHCP говорим... Учитывая то, что у автора стоят просто ADSL роутеры (а не юниксовый тазик, с которого, по крайней мере, можно пытаться глушить левые DHCP сервера) - тема весьма актуальна. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now