 |
|
| node: | jemny ot - dhcp security |
| template: | 4 |
| parent: | networking - aktivne prvky sietove |
| owner: | TomX |
| viewed by: | |
| created: | 13.01.2006 - 18:54:31 |
| updated: | 13.01.2006 - 18:56:07 |
|
cwbe coordinatez: 101 63540 1679337 2091837 ABSOLUT KYBERIA |
| permissions | |
| you: | r, |
| system: | public |
| net: | yes |
total descendants::
total children::3
neviem kam inam to postnut takze sem
skor taka teoretis~na uvaha, mozno to uz niekto riesil
mam dhcp server - good boy #1
na tom istom sietovom segmente mam dhcp klienta - good boy #2 :)
na tom istom sietovom segmente mam dalsieho hosta - bad bad boy #1
povedzme ze tento zly chlapec vygeneruje mrte dhcp discovery / dhcp request sprav (da sa aj ina metoda, tato ma napadla ako najjednoduchsia, navyse povedzme ze bude simulovat mrte hostov zmenami mac adries) aby ak nie zahltil tak aspon oneskoril spravnaka dhcp servra.
dobry chlapec #1 - dhcp klient, potom posle discovery / request na broadcast..
kedze dobry chlapec #2, nas spravnacky dhcp server, momentalne riesi requesty od zleho chlapca, zly chlapec na ktorom tiez bezi dhcp server odpovie skor.
v drvivej vacsine pripadov su dhcp klienti nakonfigurovani tak aby prevzali prvu odpoved.
takto sa dobry chlapec #1 necha zlakat na zle chodnicky zlym chlapcom.
potom zly chlapec moze veselo riesit vsakovate ne-moralnosti typu preroutovanie na spravnacku gw a maskaradu povodneho zdroja.. pre dobreho chlapca #1 by bol zly chlapec dobrik dhcp server a zly chlapec mal pristup k celej jeho trafike.. napr
otazka je - ako zabranit existencii takehoto man in the middle.. aka aby dobri chlapci pocuvali len dobrych chlapcov :)
co ma zatial napada su obmedzenia napr na switchy..
skor taka teoretis~na uvaha, mozno to uz niekto riesil
mam dhcp server - good boy #1
na tom istom sietovom segmente mam dhcp klienta - good boy #2 :)
na tom istom sietovom segmente mam dalsieho hosta - bad bad boy #1
povedzme ze tento zly chlapec vygeneruje mrte dhcp discovery / dhcp request sprav (da sa aj ina metoda, tato ma napadla ako najjednoduchsia, navyse povedzme ze bude simulovat mrte hostov zmenami mac adries) aby ak nie zahltil tak aspon oneskoril spravnaka dhcp servra.
dobry chlapec #1 - dhcp klient, potom posle discovery / request na broadcast..
kedze dobry chlapec #2, nas spravnacky dhcp server, momentalne riesi requesty od zleho chlapca, zly chlapec na ktorom tiez bezi dhcp server odpovie skor.
v drvivej vacsine pripadov su dhcp klienti nakonfigurovani tak aby prevzali prvu odpoved.
takto sa dobry chlapec #1 necha zlakat na zle chodnicky zlym chlapcom.
potom zly chlapec moze veselo riesit vsakovate ne-moralnosti typu preroutovanie na spravnacku gw a maskaradu povodneho zdroja.. pre dobreho chlapca #1 by bol zly chlapec dobrik dhcp server a zly chlapec mal pristup k celej jeho trafike.. napr
otazka je - ako zabranit existencii takehoto man in the middle.. aka aby dobri chlapci pocuvali len dobrych chlapcov :)
co ma zatial napada su obmedzenia napr na switchy..