Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.
#1 2016-08-31 01:19:13
Kamil2685 - 
Użytkownik
- Kamil2685
- Użytkownik
- Zarejestrowany: 2011-04-06
DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.
Witam wszystkich bardzo ciepło,
mam pytanie w jaki sposób zabezpieczać infrastrukturę fizyczną przed wpięciem się kabelkiem do gniazdka i nadaniem adresu ręcznie ?
Jak wykroić takie zdarzenia ?
Pozdrawiam !
Offline
#2 2016-08-31 06:42:44
lis6502 - Łowca lamerów
- lis6502
- Łowca lamerów
- Skąd: Stalinogród
- Zarejestrowany: 2008-12-04
Re: DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.
Pamiętam że jak pracowałem z mikrotikami to w serwerze dhcp była opcja add arp for leases. Wtedy ziomek który nie dostał leasa od dhcpa nie był wpisany w tablicę arp, pod warunkiem ustawienia na interfejsie opcji arp=reply-only. Teraz potłumacz sobie to na linuksowy soft it voila xD
Offline
#3 2016-08-31 22:42:11
Kamil2685 - Użytkownik
- Kamil2685
- Użytkownik
- Zarejestrowany: 2011-04-06
Re: DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.
Haha, piękne dzięki za naprowadzenie na temat. Zacznę kopanie w wolnej chwili a jak znajdę coś co działa to podrzucę dla potomności ;)
Offline
#4 2016-09-03 19:34:54
chmuri - [=Centos=]
#5 2016-09-03 19:47:25
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.
3170
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:44:24)
Offline
#6 2016-09-03 22:37:52
lis6502 - Łowca lamerów
- lis6502
- Łowca lamerów
- Skąd: Stalinogród
- Zarejestrowany: 2008-12-04
Re: DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.
na skypciaki takie zabezpieczenie pomaga- można iść w kierunku pppoe powiązanego z mac-bindingiem.Tylko po co ? Mierzmy siły na zamiary :)
Offline
#7 2016-09-14 15:08:03
jurgensen - Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.
Jeśli router masz na OPenBSD to wbudowany DHCP potrafi przekazywać do PFa tablicę przydzielonych adresów. Wówczas możesz zablokować wszystko inne, więc będziesz mógł zablokować cały ruch dla adresów, które nie zostały przydzielone z DHCP. Wadą tego rozwiązania jak i powyższego z MikroTikiem jest to, że ruch do hostów w domenie rozgłoszeniowej nie przechodzi przez router, więc będzie działać dalej.
O wiele lepszą metodą jest blokowanie w warstwie 2, np. 802.1x albo własnościowe rozwiązania producentów sprzętu sieciowego, jak port security, albo IP Source Guard (to ostatnie chyba najbardziej odpowiada Twojemu problemowi)
Offline
#8 2016-09-14 17:25:21
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.
Do filtrowania IP-MAC jest w Linuxie elegancki moduł do Ipseta:
man ipset napisał(-a):
The bitmap:ip,mac type is exceptional in the sense that the MAC part
can be left out when adding/deleting/testing entries in the set. If we
add an entry without the MAC address specified, then when the first
time the entry is matched by the kernel, it will automatically fill out
the missing MAC address with the source MAC address from the packet. If
the entry was specified with a timeout value, the timer starts off when
the IP and MAC address pair is complete.
The bitmap:ip,mac type of sets require two src/dst parameters of the
set match and SET target netfilter kernel modules and the second one
must be src to match, add or delete entries, because the set match and
SET target have access to the source MAC address only.
Examples:
ipset create foo bitmap:ip,mac range 192.168.0.0/16
ipset add foo 192.168.1.1,12:34:56:78:9A:BC
ipset test foo 192.168.1.1
Da się też ożenić serwer DHCPD z Ipsetem, ale jest trochę gimnastyki z kodzeniem.
Przy okazji, jeśli sieć ma być mega bezpieczna, i będzie się rozwijać w tym kierunku, to ja bym od razu radził DHCP postawić jako usługę Radiusa - np Freeradius ma moduł DHCPD.
Romans FreeRadiusa z Ipsetem też dużo łatwiej zaaranżować, niż w przypadku starego DHCPD.
http://networkradius.com/doc/3.0.10/raddb/mods-available/exec
http://superuser.com/questions/732088/freeradius-do … -daemon-mode.
Radius dostarcza XX metod autoryzacji kryptograficznej używanej w sieciach Wifi i w serwerach PPPOE,
na kablu w standardowym ethernecie nigdy ich nie próbowałem na razie.
EDIT:
Zwykły dhcpd, dodawania do ipseta ip:mac przez parsowanie sysloga - rsyslog wysyła logi do kolejki fifo /dev/syslog:
Kod:
root ~> ipset create dhcpd bitmap:ip,mac range 192.168.0.0/16 timeout 3600
root ~> ipset list dhcpd
Name: dhcpd
Type: bitmap:ip,mac
Revision: 3
Header: range 192.168.0.0-192.168.255.255 timeout 3600
Size in memory: 8272
References: 0
Members:
root ~> echo "Sep 14 18:07:55 localhost dhcpd: DHCPACK on 192.168.0.20 to 00:11:22:e5:ce:39 (Andek) via br0" | awk '{print "add dhcpd "$8","$10}' |ipset --restore --exist
ipset list dhcpd
Name: dhcpd
Type: bitmap:ip,mac
Revision: 3
Header: range 192.168.0.0-192.168.255.255 timeout 3600
Size in memory: 8272
References: 0
Members:
192.168.0.20,00:11:22:E5:CE:39 timeout 3591
root ~>Pozdro
Ostatnio edytowany przez Jacekalex (2016-09-14 18:19:17)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » DHCP - zabezpieczenie przed wpieciem do sieci i nadaniem adresu.