Jump to content

DHCP стоит ли


Recommended Posts

Здрасти.

 

Есть сетка из 38 абонентов, в сети 2 adsl модема.

Оба модема могут могут работать как в режиме клиентов так и серверов DHCP.

Настроены в режиме фиксированых IP. Стоит ли настраивать сетку в DHCP ?

 

Как по мне плюсы DHCP

- абоненты после сноса винды постоянно звонят и просят продиктовать настройки и узнают куда их вбивать, то есть проблема отпадет.

 

Также в модемах предусмотрена функция альтернативного шлюза, то есть если пропадает adsl на одном он начинает ходит через другой.

Реально ли это будет сделать через DHCP?

Link to post
Share on other sites
  On 2/15/2010 at 7:06 AM, Queeq said:

Если пользователи все равны (нет разделения по тарифам и доступам) - имеет смысл делать DHCP.

а если не равны? :rolleyes:)

каким боком DHCP к тарифам и доступам?

Link to post
Share on other sites

 Если равны - то всё равно кому какой давать IP. Если не равны - надо озаботиться, чтобы к юзеру был привязан его IP, а также, чтобы особо умные не могли его перехватить/подсунуть левый шлюз/DNS и т.д.

Link to post
Share on other sites
  On 2/16/2010 at 8:47 AM, nickolayenko said:

а ип к маку привязать что трудно? в настройках дхцп это делается без проблем....

Это помешает злоумышленнику поставить DHCP сервер, который может выдать клиенту неверные настройки?

 

 

Не имея дорогущих свичей, умеющих блочить левые DHCP сервера (DHCP Snooping в цисковской терминологии) - не помешает.

Link to post
Share on other sites

Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку.

 

Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь.

Ну разве что иметь фильтрацию IP+MAC на порту.

 

 

 

 

З.Ы. Корректное название - dhcdrop.

 

 

 

 

З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп.

 

Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника.

Edited by Queeq
Link to post
Share on other sites
  On 2/16/2010 at 9:22 AM, Queeq said:

Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку.

 

Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь.

Ну разве что иметь фильтрацию IP+MAC на порту.

 

 

 

 

З.Ы. Корректное название - dhcdrop.

 

 

 

 

З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп.

 

Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника.

 

 

Не пойму для чего эти все выдумки, если скорость можно резать на свечах, и точно также отключать не оплативших...

Link to post
Share on other sites
  On 2/16/2010 at 5:41 PM, kenguru said:
  On 2/16/2010 at 9:22 AM, Queeq said:

Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку.

 

Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь.

Ну разве что иметь фильтрацию IP+MAC на порту.

 

 

 

 

З.Ы. Корректное название - dhcdrop.

 

 

 

 

З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп.

 

Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника.

 

 

Не пойму для чего эти все выдумки, если скорость можно резать на свечах, и точно также отключать не оплативших...

 

Мы тут, вообще-то, про небезопасность использования DHCP говорим...

 

 

Учитывая то, что у автора стоят просто ADSL роутеры (а не юниксовый тазик, с которого, по крайней мере, можно пытаться глушить левые DHCP сервера) - тема весьма актуальна.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...