kenguru 1 Опубликовано: 2010-02-15 05:39:31 Share Опубликовано: 2010-02-15 05:39:31 Здрасти. Есть сетка из 38 абонентов, в сети 2 adsl модема. Оба модема могут могут работать как в режиме клиентов так и серверов DHCP. Настроены в режиме фиксированых IP. Стоит ли настраивать сетку в DHCP ? Как по мне плюсы DHCP - абоненты после сноса винды постоянно звонят и просят продиктовать настройки и узнают куда их вбивать, то есть проблема отпадет. Также в модемах предусмотрена функция альтернативного шлюза, то есть если пропадает adsl на одном он начинает ходит через другой. Реально ли это будет сделать через DHCP? Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-15 07:06:36 Share Опубліковано: 2010-02-15 07:06:36 Если пользователи все равны (нет разделения по тарифам и доступам) - имеет смысл делать DHCP. Ссылка на сообщение Поделиться на других сайтах
BUM 237 Опубліковано: 2010-02-15 08:20:05 Share Опубліковано: 2010-02-15 08:20:05 Если пользователи все равны (нет разделения по тарифам и доступам) - имеет смысл делать DHCP. а если не равны? ) каким боком DHCP к тарифам и доступам? Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-15 08:26:05 Share Опубліковано: 2010-02-15 08:26:05 Если равны - то всё равно кому какой давать IP. Если не равны - надо озаботиться, чтобы к юзеру был привязан его IP, а также, чтобы особо умные не могли его перехватить/подсунуть левый шлюз/DNS и т.д. Ссылка на сообщение Поделиться на других сайтах
nickolayenko 5 Опубліковано: 2010-02-16 08:47:59 Share Опубліковано: 2010-02-16 08:47:59 а ип к маку привязать что трудно? в настройках дхцп это делается без проблем.... Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-16 08:54:20 Share Опубліковано: 2010-02-16 08:54:20 а ип к маку привязать что трудно? в настройках дхцп это делается без проблем.... Это помешает злоумышленнику поставить DHCP сервер, который может выдать клиенту неверные настройки? Не имея дорогущих свичей, умеющих блочить левые DHCP сервера (DHCP Snooping в цисковской терминологии) - не помешает. Ссылка на сообщение Поделиться на других сайтах
Pretender 5 Опубліковано: 2010-02-16 09:13:14 Share Опубліковано: 2010-02-16 09:13:14 Queeq есть програмулина dhcp drop она как бы справляется с тем, чтобы не появлялось "левых" дхцп Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-16 09:22:42 Share Опубліковано: 2010-02-16 09:22:42 (відредаговано) Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку. Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь. Ну разве что иметь фильтрацию IP+MAC на порту. З.Ы. Корректное название - dhcdrop. З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп. Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника. Відредаговано 2010-02-16 09:32:42 Queeq Ссылка на сообщение Поделиться на других сайтах
kenguru 1 Опубліковано: 2010-02-16 17:41:36 Автор Share Опубліковано: 2010-02-16 17:41:36 Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку. Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь. Ну разве что иметь фильтрацию IP+MAC на порту. З.Ы. Корректное название - dhcdrop. З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп. Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника. Не пойму для чего эти все выдумки, если скорость можно резать на свечах, и точно также отключать не оплативших... Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-16 20:40:24 Share Опубліковано: 2010-02-16 20:40:24 Прикольно, не знал. Но это так, подпорка. Не очень прикольно флудить собственную сетку. Но есть ещё одно НО - злоумышленник может использовать абсолютно непредсказуемый диапазон адресов для выдачи ложных параметров, в том числе и реальные адреса. Всё не заглушишь. Ну разве что иметь фильтрацию IP+MAC на порту. З.Ы. Корректное название - dhcdrop. З.З.Ы. Касательно "случайного диапазона" - будет касаться агрессивного режима (-L). Если обычный режим работы программы - придётся слать запросы от имени каждого легального компа в сети (явно ставить initial MAC address), т.к. ложный DHCP сервер может быть настроен на какой-то конкретный комп. Ну что ж... Геморно, но реально. Конечно, будет зависеть от квалификации злоумышленника. Не пойму для чего эти все выдумки, если скорость можно резать на свечах, и точно также отключать не оплативших... Мы тут, вообще-то, про небезопасность использования DHCP говорим... Учитывая то, что у автора стоят просто ADSL роутеры (а не юниксовый тазик, с которого, по крайней мере, можно пытаться глушить левые DHCP сервера) - тема весьма актуальна. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас