|
Сигурност - заразяване на ARP-кеша
|
|
|
|
|
|
от Rumen_Yotov(30-08-2005)
рейтинг (37)
[ добре ]
[ зле ]
Вариант за отпечатване ARP е много прост протокол, състои се само от четири (4)
базови типа съобщения:
1.ARP заявка. Компютъра А пита мрежата (чрез 'broadcast'
адреса) "Кой има този IP (интернет адрес)?
2.ARP отговор. Компютър Б отговаря на А, "Аз имам този
IP адрес, и моят MAC адрес е ...".
3.Обратна ARP заявка (RARP). Концепцията е същата както в
точка 1, само че тук Компютър А пита, "Кой има този MAC
адрес"?
4.RARP отговор. Компютър Б отговаря на А, "Аз имам
този MAC адрес, и моят IP адрес е ....".
Всички мрежови устройства имат ARP-таблица, съхранявана
временно в паметта на компютъра. В нея се съхраняват (по
двойки) всички IP <---> MAC адреси от локалната мрежа,
които до момента са съпоставени.
ARP-таблицата служи като кеш при последващи запитвания.
ARP заявката се изпраща на 'broadcast' адреса на мрежата
(за да бъде получен от всички компютри). В отговор на това
запитване се изпраща отговор само до питащия, като в
отговора е посочен и MAC адреса на отговарящия. В резултат
тази двоика IP-MAC се запазва в ARP-кеша.
За постигане на по-висока ефективност авторите на ARP
протокола са го опростили максимално (но да е
работоспособен) но уви главно за сметка на сигурността
(липсва всякаква идентификация).
В действителност в някои операционни системи ARP протокола
е реализиран по такъв начин, че даже устройства които не са
направили запитване получават отговора (предполагам че това
е направено пак е цел по-висока ефективност - избягване на
повторни запитвания).
Сега да се помъчим да се поставим на мястото на един кракер
(наричан хакер на популярен жаргон). "Защо да не
изпратя един фалшив (но протоколно коректен) отговор, които
да асоциира двоика произволно избрани IP и MAC адреси".
Така спокойно можем да излъжем всеки (незащитен) компютър в
мрежата. Но и това не е всичко, още по-добре ще е "ако
изпратя такъв/а отговор/и на 'broadcast' адреса на мрежата,
така ще излъжа всички наведнъж, еха".
Сега обратно към реалността. Дано от този съвсем кратък
предговор стане ясно защо тази атака се нарича
"Заразяване на ARP-кеша" а не само ARP-заразяване.
Заразеният кеш автоматически се изчиства след спиране и
повторно зареждане на операционната система (докато не бъде
заразен пак).
Всичко описано дотук дава възможност за няколко вида
атаки:
1. Отказ от услуга;
2. Атакуващ по средата;
3. MAC препълване.
Сега накратно за всяка една от тях.
1. Отказ от услуга. Когато се изпрати ARP-отговор,
асоцииращ IP адреса на рутера на дадена мрежа с фалшив
(несъществуващ) MAC-адрес. Резултат, цялата мрежа губи
връзка със света.
2. Атакуващ по средата. Това е една "класическа"
атака. Целта е да се прехванат данните предавани между два
компютъра в мрежата (единият най-често е гореспоменатият
рутер). Така целият трафик на атакуваният компютър минава
първо през атакуващия и чак след това се препраща към рутера
(междувременно този трафик може да се види/запише).
Всичко това се реализира само с два ARP отговора. Един до
рутера, и той съдържа IP-адреса на атакуваният компютър и
MAC-адреса на атакуващия и втори - до атакуваният компютър,
с IP адреса на рутера и MAC-адреса на атакуващия. Още една
подробност (вторична), трябва да се включи (ако не е бил
включен) режим "IP forwarding" в ядрото. Някъде в
този трафик са и Вашите пароли.
3. MAC препълване. Това е една техника, насочена главно към
мрежовите превключватели (switches). Няма да се обсъжда
разликата между хъб (hub) и превключвател (switch).
Възможността за такава атака се крие в естественото
ограничение на паметта на всеки един превключвател (суич по
нататък, думата вече е почти приета) където се съхраняват
данните на ARP-кеша. Реално когато се получат прекалено
много данни е възможно (в зависимост от производител/модел и
др.) тази памет на суича да се препълни и той да превключи в
режим "хъб", при който просто
"broadcast-ва" целият мрежов трафик. Евентуалния
успех на атаката зависи изцяло от суича
(производител/модел), но при успех остава само да се настрои
мрежовата карта в съответен режим и така да се следи целият
трафик в мрежата.
Сега след толкова много FUD (страх/несигурност/съмнение) да
съобщим и някои (относително) добри новини. Едно
задължително условие за извършване (въобще) на такава атака
е наличието на достъп до някои компютър в локалната мрежа.
Атаката не може да се извърши отдалечено (само отблизо
;-)
Тя може да бъде извършена само върху компютри, които слушат
на съответния "broadcast" адрес.
Сега напълно според традицията и лошата новина ;-) Тъй като
възможността за атака е заложена в протокол, който е част от
мрежовия TCP/IP протокол, възможността за атака не може да
се избегне (поне не в ethernet, където всяка мрежова карта
има и ползва MAC-адреса си). Някои да каже ако лъжа тук.
Сега хронологически следват и някои начини за защита (иначе
защо въобще се занимаваме с това ?).
ЗА МАЛКИ МРЕЖИ
Една често използване възможност е задаването на статични
двойки адреси (IP <---> MAC) и съответно статична
ARP-таблица. При стартиране/изпълняване на
"ifconfig" за NIX операционни системи или (за
пълнота) "ipconfig /all" за различните версии на
Windows (tm), могат да се видят съответните MAC адреси на
устройствата (локални). Как ли става за отдалечените ?
[hint: NMAP]. Има и други инструменти.
Чрез изпълнение на "arp -s hostname/IP MAC"
(виж "man arp", хайде сега пак ли четене) може да
се добавят статични данни в ARP-кеша. Статични тук означава
постоянни (дори след рестартиране). Или пък за да докажем,че
и други освен хакерите могат да мислят (е поне малко де) да
сложим тези команди в скрипт,който естествено да се старира
още при начално зареждане на операционната система.
Проблема с това решение (пак ли проблем) е че то работи
добре само за "относително" малки мрежи, примерно
до 20-тина машини и въобще не работи за мрежи в които
адресите се получават чрез DHCP и съответно IP адресите се
менят.
ЗА ГОЛЕМИ МРЕЖИ
Тук решението/ята са други. Първо проверете дали Вашият
(или чужд) суич има режим "Port Security", ако за
щастие има го включете. При този режим суича позволява само
по един (постоянен) MAC адрес на всеки физически порт, което
предпазва мрежата (компютрите) от ARP-атаки. Корпоративно
решение.
ЗАЩИТИ ЗА ВСЯКАКВИ МРЕЖИ
Ето това е за мен. Много важна предпоставка за успешна
защита е да знаете как работи ARP-протокола и съответно да
го следите. Един инструмент за това е "arpwatch"
(това пък къде е? питай Google за да научиш ;) Тук в времето
и мястото да споделя и малко впечатления от моята работа с
"arpwatch".
Накратко програмата работи като "демон" който
следи ARP-таблицата и при промяна изпраща съобщения (мейл до
"root") където дава достатъчна информация.
Например:
...BEGIN...
Subject: new station (connection-005.ISP.net)
hostname:
connection-005.ISP.net
ip address:
192.168.1.5
ethernet address: 0:b:41:1d:d2:5c
ethernet vendor: <unknown>
timestamp: Monday,
August 29, 2005 22:05:54 +0300
...END...
Писмо за всеки нов адрес. В началото генерира доста
трафик, след това нещата се успокояват.
Ето и нещо което да ви накара да проверите/действате:
...BEGIN...
Subject: changed ethernet address
(connection-042.ISP.net)
hostname:
connection-042.ISP.net
ip address:
192.168.1.42
ethernet address: 0:c:6e:2b:55:ee
ethernet vendor: <unknown>
old ethernet address: 0:8:c7:29:a6:7e
old ethernet vendor: COMPAQ COMPUTER CORPORATION
timestamp: Saturday,
August 27, 2005 9:55:33 +0300
previous timestamp: Wednesday, August 24, 2005
23:04:40 +0300
delta: 2
days
...END...
Забележка: някои данни (адреси & MAC-ове) в двата примера
са променени.
Поне на този етап за мен това е което знам/видях. Не съм се
ровил надълбоко.
Друго решение (а дали е такова):
Потърсете за "arpstar" (виж за Google по-горе).
Това е кърнъл-модул който съобщава и *предпазва* от
ARP-атаки.
Проекта е относително нов, но има дори ;-) графичен
инструмент (alpha) който известява за атака/и.
Доколкото разбирам работата на този "графичен
инструмент" е да grep-ва зададен лог и когато открие
ARP да сигнализира (тук може и да греша). Логовете му са
системните логове.
(Забележка: не съм сигурен дали *предпазва*, но така пише
на сайта на проекта).
Намерих и една програма за Windows потребители:
[Xarp-0.1.5] адрес: http://www.chrismc.de/
Трето решение:
То май най ми харесва - наистина е универсално ;-)
Използвайте криптирани връзки (където е възможно), така
дори и да ви прехванат трафика няма как (общо взето) да го
декриптират и следят. Използвам го за моята поща и другаде
където може.
Сега кратко заключение/обяснение.
Идеята за подобна статия (как звучи само) се появи преди
около седмица (не заради конкурса, много ме мързи
напоследък) а дойде от въпрос във форума за програма/и за
защита от ARP-spoof атаки. Тъй като досега използвах основно
(по скоро за проба) "arpstar" (не съм ползвал
статични данни) реших да се поровя и това е което за час/два
открих след това няколко дена асимилиране и мислене дали
въобще да пиша нещо, има още планини от информация.
Написаното е по-скоро компилация от тук и там като
единственото мое допълнение са някои коментари и примерите
от реалното ползване на програмите.
Сега ми дойде и идея за ползата от едно Wikki в
linux-bg.org, където може да напишеш и нещо не съвсем
завършено или пък да добавиш нещо към вече написаното от
други.
Това би спестило и доста от въпросите/проблемите във
форумите, вместо FAQ (пък е и по-лесно за поддържане,
май).
PS1:няма да се обидя ако това въобще не се публикува на
сайта, но по-късно едва ли ще го допълня.
PS2:Приема се и всякаква критика особено полезни
допълнения, пояснения корекции на грешки и т.н. Основната
цел/идея тук е да се постави въпроса и се дадат някои
решения, идеи, опити и мнения.
Румен Йотов
<< Postfix с TLS подръжка | Как да "сваляме" Debian с Jigdo от българските огледала. >>
|
|
|
|
|
arpwatch има и Windows версия
От: liort
На: 31-08-2005@6:54 GMT+2
Оценка: 1/Неутрален... казва се WinARPWatch и можете да си го изтеглите оттук:
http://www.arp-sk.org/files/related/war...
[Отговори на този коментар]
още четене
От: iive <iive< at >abv__dot__bg>
На: 31-08-2005@7:38 GMT+2
Оценка: 1/НеутраленЗаразяване не е правилния превод на термина "poisoning". Отравяне или замърсяване са по-точни преводи.
1.DoS - Не е възможно с едно ARP-че да се направи DoS. Проблемът е че ако не може да се установи връзка ще се извика нов ARP и съответно се налага ново замърсяване. Теоретично това е лесно да се забележи дори от автоматични средства за защита.
2.Man in Middle. Това е класическа sniffer схема. Но описаната схема работи само ако можеш да замърсиш и двете комуникиращи устройства, копмютъра и gateway-a. Повечето ISP-та имат твърди установени MAC/IP и не позволяват замърсяване. Следователно подслушването ще е еднопосочно и съответно след всеки получен отговор (TCP изисква отговор за всеки пакет) трябва да се прави ново замърсяване, с утежняващото условие че подслушвача няма да знае кога е бил получен пакета и се налага постоянен flood.
3. Switch
Switch-овете нямат големи буфери. Те помнят само един MAC на порт. Ако те не знаят даден MAC тогава пращат пакета на всички портове. Атакуващият може да прати един пакет с MAC-а на атакувания, така порта ще бъде насочен към него. Проблем е обаче как да атакувания да си получи пакета (broadcast за TCP?). Друг проблем е как да се прехване трафикът към gateway-а (този който е с паролите).
Едно интересно решение е ако мрежата има каскадно скачени прости switch-ове, тогава flood от компютър в другия switch ще държи порта в грешно състояние (и съответно ще позволи подслушване).
[Отговори на този коментар]
Допълнения по темата
От: Георги Андонов <GAndonov__at__bg__dot__amadeus__dot__net>
На: 31-08-2005@7:58 GMT+2
Оценка: 1/НеутраленСтатията е добра. И просто за пълнота, ето и малко допълнения по темата:
Съдържанието на ARP cache на локалната машина може да проверите с:
arp -a
ARP записите се съхраняват 5 min. След този период (липса на комуникация между локалната и отдалечената машини) съответния запис се изтрива от ARP таблицата.
При предложенията за "ЗА МАЛКИ МРЕЖИ"
-------------------------------------
Добре е да добавите статичните записи във файла /etc/ethers. С командата:
arp -f
всички записи ще бъдат добавени наведнъж.
При този подход е добре да забраните ARP протокола за съответния интерфейс:
ifconfig -interface -arp
При предложенията за "ЗА ГОЛЕМИ МРЕЖИ"
--------------------------------------
Аналогично е решението за добавяне на статични записи в корпоративни мрежи. Необходимо е да бъде конфигуриран NIS, NIS+ или LDAP сървър в корпоративната мрежа. Така файлът /etc/ethers се съхранява централизирано (на сървъра). Неприятният момент е, че NIS и NIS+ клиент няма за MS Windows (доколкото знам).
И няколко корекции в термините:
Терминология
------------
hub - концентратор (а не хъб)
switch - комутатор (превключвател)
router - маршрутизатор (рутер)
[Отговори на този коментар]
NIS Client Windows
От: Pi4a
На: 31-08-2005@11:25 GMT+2
Оценка: 1/НеутраленИма много, даже за Windows 3.1, не само за 9х/NT/2000/XP и т.н. :)
[Отговори на този коментар]
arpstar рулира
От: Stoian Ivanov <sdr< at >mail __точка__ bg>
На: 31-08-2005@11:52 GMT+2
Оценка: 1/НеутраленВинаги съм си мислел че нещата с ARP трябва да се имплементират както са направени в arpstar. Слагаш и забравяш за проблемите. Лошото е че като почне arp poisoning по мрежата и switch-овете откачат и няма много файда че твоя компютър е ок при положение че всички останали устройства са полудели :(
[Отговори на този коментар]
Хехехехе
От: RooTchO
На: 31-08-2005@12:28 GMT+2
Оценка: 1/НеутраленСладури а някой замисли ли се за какво се ползва опцията pub ????
пример :
arp -s 192.168.20.4 00:00:f0:84:fc:c7 permanent pub
Както е примерно под FreeBSD ще ви спести всичките главоболия от това да следите адресите кой какво слага. До сега не съм виждал да се ползва тази опция а тя е определено много полезна.
Какво прави pub по точно ще се запитате всички ?
Ами много просто имате един gateway правите си arp list както е описано в статията само,че добавяте и опцията pub за всеки адрес в подмрежата включително и тези които не се ползват се слагат с еднакъв mac адрес който е фалшиф примерно ( 00:00:02:00:00:03 ) или както ви хареса. Опцията осигурява _публикуване_ по broadcast на всеки един адрес който го има в тази таблица атакуващия с две думи няма да може да замени нищо при положение че има машина която се грижи да _разпространява_ правилната информация. Единствения пробив е този потребител да разбере чужд IP и MAC адрес и да се включи вместо него. Чудя се кога господата от LAN доставчиците ще престанат с глупавите auth. по pppoe и не започнат да ползват по нормални техники за защита и афтентикация по ssh :-D.
Н.К.
[Отговори на този коментар]
Към: Хехехехе
От: Георги Андонов <GAndonov< at >bg[ точка ]amadeus[ точка ]net>
На: 1-09-2005@6:45 GMT+2
Оценка: 1/НеутраленОпцията PUB може да се ползва катко от:
- теб - ДОБРИЯ, така и от
- него - ЛОШИЯ.
Като има две машини в локалната мрежа, които PUBlish-ват различни адреси, печели по-бързият (т.е. последният изпратил ARP отговор).
С две думи това PUB не пази машините в мрежата, нито решава който и да е от описаните проблеми/атаки
Редактиран на: 1-09-2005@6:50
[Отговори на този коментар]
хех
От: RooTchO
На: 1-09-2005@7:20 GMT+2
Оценка: 1/НеутраленНапротив решава проблема до много голяма степен.
Поради простия факт че първо за да може той да изпрати каквато и да е информация по мрежата трябва да има фактически даден от администратора мрежови адрес и да има вдигнат интерфейс за да прати по мрежата подобно инфо !!!
А ако се опита да се включи с адрес който не му е даден просто не може да има активна връзка. Единствения начин да започне между атакуващия и твоя сервер надпревара е той да е вече в тази мрежа потребител. Не го забравяй това ....
Тествано е и работи перфектно. ARP spoof в подобни мрежи е много трудно за създаване. Да не говорим ако на всяко PC има поне заключване на правилните MAC адреси. Разбира се потребителя трябва да участва в цялта тая работа до определена степен. Опитай го в реални условия да видиш резултата ..... :-) . В 99% от случаите gate-a на мрежата отговаря първи тъй като той е описан като gate на мрежата в всяко PC !!!!!
[Отговори на този коментар]
Към: Хехе
От: Георги Андонов <GAndonov (a) bg[ точка ]amadeus[ точка ]net>
На: 1-09-2005@10:06 GMT+2
Оценка: 1/НеутраленТи описваш частен случай.
Светът е малко по-голям от мрежата на доставчика ти :-)
--- Цитат --- ... трябва да има фактически даден от администратора мрежови адрес ... ... Единствения начин да започне между атакуващия и твоя сервер надпревара е той да е вече в тази мрежа потребител. Не го забравяй това ....
---
Не мисли само за мрежата на Интернет доставчика. Проблемите съществуват във всяка Локална Мрежа.
Та говорим за локална мрежа с разни комутатори и концентратори и "прилично" количество компютри. Обърни внимание - РАБОТЕЩИ компютри, с адреси и всичко друго необходимо. Тук въобще не разглеждаме случаят когато някой "навляк" си е боднал "пиратския" компютър в мрежата.(забрави засега за Интернет доставчиците!)
Та в тази мрежа, освен добросъвестни ползватели, има и вируси/spy/malicious software/недоволни служители/кракери/хакери/хРакери и т.н.
И всеки бълва данни.
Задача: Намерете "КОЙ е ЛОШИЯТ"!
П.П. А проблемите на интернет доставчика са проблеми на самият него! Освен ако ти не си доставчик ;-)
Редактиран на: 1-09-2005@10:22
[Отговори на този коментар]
еххх
От: RooTchO
На: 1-09-2005@11:02 GMT+2
Оценка: 1/НеутраленАз много добре знам че светът не се свършва с локалния ми доставчик и добре разбирам за какво говориш но ми се струва че това което казах не си го разбрал по един или друг начин. Всяка сигурност на дадена мрежа или компютър е за сметка на нещо друго ако всеки от тези доставчици намери баланса ще е много по трудно да се постигнат желаните ефекти от злонамереното лице. Говорим за атаките и аз ви дадох малък пример за това как може да се защити една мрежа C клас мрежа примерно, а пък това кой какви приложения ще намери е друга работа. Доколкото до локалните мрежи потребителите трябва да се държът много искъсо за да може да се научат на определена култура на работа с един компютър. Доколкото до доставчиците в българия те даже елементарна политика на защита на сървърите нямат какво остава за друго....
Това дали съм доставчик или не няма значение, важното е приложението на средствата за защита.
[Отговори на този коментар]
Към: Еххх
От: Георги Андонов <GAndonov __@__ bg[ точка ]amadeus[ точка ]net>
На: 1-09-2005@12:01 GMT+2
Оценка: 1/НеутраленОтносно проблемите на доставчиците - разбрахме се, че са ТЕХНИ проблеми. :-)
А относно ARP особеностите, атаките и възможните защити:
--- Цитат ---
... аз ви дадох малък пример за това как може да се защити една мрежа C клас ...
-------------
Аз продължавам да твърдя, че в локална мрежа използването на опция PUB не решава нито един от разгледаните проблеми (DoS, Man in Middle и т.н.).
С опцията PUB дадена машина казва: "Аз дирижирам оркестъра и Аз казвам кой кой е!".
Което не пречи на ВСЕКИ от "оркестъра" да каже: "Ай стига бе! Аз ще съм първа цигулка!" и да започне солови действия.
Като резултат целия оркестър свири нещо като Джаз (ама не съвсем) ;-)
С други думи: DoS
Ако си спомняш условието на задачата:
Намери "КОЙ е ЛОШИЯТ"!
Тук звучи така: "Кой, аджеба, свири фалшиво?"
Та да повторим: Проблемът остава С или БЕЗ използването на опция PUB! Факт!
[Отговори на този коментар]
хммм
От: RooTchO
На: 2-09-2005@7:57 GMT+2
Оценка: 1/НеутраленПрочети какво съм написал ще разбереш идеята или най-малкото опитай да пресъздадеш подобна среда да видим резултатите какви ще бъдат, може да опиташ и с различни мрежи. Man in The middle се постига много трудно, за DoS по принцип има други начини за избягване на подобни атаки и за тяхното намаляване, но това не е тема за тази статия.
Ще ти задам един въпрос:
Да кажем имаш ситуация в която gate-a ти е трудно достъпен ( няма да пояснявам причините ) до теб има злонамерен който е с опция pub, само че ти получаваш и информацията за дадения IP адрес от твоя gate. Според теб ще можеш ли да осъществиш нормална Man in the middle атака при положение, че записа в ARP таблицата ти се презаписва през няколко милисекунди ( ти даже няма да успееш да направиш реалена конекция по TCP )? Атакувашия няма как да накара PC-to на което си ти да застопори неговия MAC адрес. Windows в подобни реакции реагира с забиване за няколко секунди да не говорим какво ще стане ако таблицата му се презаписва през няколко милисекунди....
А ако таблицата ти е статична на твойто PC и имаш адреса на gate-a или на твоито другарче с което си обменяш информация. Този статичен MAC адрес не може да се презапише от атакуващия за да направиш тази атака !!! Помисли малко по въпроса опитай виж резултатите ....
[Отговори на този коментар]
NFS/NIS/NIS+ Windows client
От: Pavel Stoyanov <pavel (a) pleven[ точка ]us>
На: 16-10-2005@11:22 GMT+2
Оценка: 1/НеутраленТази статия е много спорна.
Темата е подходяща да се използват Windows client, "глупави" комутатори или старите концентратори.
Ако използвате някой от серията Cisco Catalyst (Managment Switch) - на такива съм изпраобвал тези атаки, резултата при мен беше, че загубих връзка с комутатора както и този на който се опитах да се представя.
Всичко зависи от това с какво разполагате.
Ако имате 2 SURECOM-a....sorry.
Едно допълнение за тези които искат да използват NFS (Server side) - Windows (client side)
Това е един от многото инструменти за това.
http://www.ssc-corp.com/nfs/DiskAccess....
Клиента работи доста добре и под Прозорци'95.
[Отговори на този коментар]
Примерен случай - за руут-чо
От: gat3way
На: 13-01-2006@9:11 GMT+2
Оценка: 1/НеутраленARP протокола няма механизъм, по който да си вземаш отговорите от точно определено място. Нека да речем, в идеалния случай, в който наистина gateway-a отговаря на всички клиенти пръв (което едва ли е случая ако е по-натоварен или ако до него има повече latency отколкото до лошия хакер, което зависи и от топологията и суичовете в мрежата). Това е частен случай, разбираш ли, може да работи добре в една малка мрежа, но в голяма LAN просто няма да стане. Който отговори първи той ще е казва кое какво е. И колкото по-голяма е мрежата толкова по-малко вероятно е gateway-a да отговори пръв.
Дори в такъв случай какъвто описваш, ако аз бях лошият хакер щях да се пробвам най-малкото да DoS-на машинката дето се прави на авторитивна по АРП въпросите. С един хубав flood с ARP requests с различни source MACs. Както вероятно знаеш ядрото си има една табличка, в която се пазят MAC адреси, за които все още не се знае IP адреса, ВЪПРЕКИ опцията pub. Не знам как ще процедира ядрото на BSD в случай че тази таблица се запълни, но според мен е много вероятно да спре да отговаря на АРП запитвания вместо другите. При това положение аз все пак ще мога да заразявам чуждите ARP кешове.
Другото което е, забелязах в статията, че статичните АРП ентрита остават след рестарт, а това не е така принципно, вероятно някой инитскрипт прави това. Пробвали ли сте рестарт с F13? :) Със статични ентрита може да се работи наистина в много малка мрежа, и 20 хоста са много. Досадно е да добавяш и махаш нещо всеки път когато се добави някъде нов NIC, а с dhcp-ta както пишете е невъзможно (е, ама може да се поиграе с някакъв мнооооого висок lease time. Горкият сисадмин).
Решението според мен е port security. Наистина, етернет е див протокол и въобще не са го мислили за настоящата ситуация. ВЛАН-овете пък могат да помогнат донякъде физически да се изчисти възможността някой лош човек да се навърже някъде и да прави лоши неща с цялата мрежа.
Има и arpsec, но не съм особено запознат по въпроса. Ако някой знае повече за това чудо нека каже...
[Отговори на този коментар]
превод!
От: PxL
На: 6-05-2006@23:00 GMT+2
Оценка: 1/Неутрален Като преписваш поне пиши от къде е взета информацията ;)
[Отговори на този коментар]
Мен ме спаси ARPSTAR
От: Зла Троха (ръжена)
На: 9-10-2006@8:45 GMT+2
Оценка: 1/НеутраленПросто се родих след като го инсталирах.
[Отговори на този коментар]
есед нод 32
От: ружди
На: 11-04-2014@5:48 GMT+2
Оценка: 1/Неутраленнод 32 -7 има я тази защита
[Отговори на този коментар]