arp

Martin Horcicka horcicka at dzungle.ms.mff.cuni.cz
Tue May 1 11:45:25 CEST 2001

Previous message: arp
Next message: arp
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ahoj,

> > (cehoz lze dosahnout efektivneji nastavenim
> > statickych ARP zaznamu pro existujici IP adresy a zakazanim ve firewallu
> > obema smery pro neexistujici).
>
> 	To ti resi problem komunikace z nepridelenych IP adres - nikoli vsak IP
> komunikace z neschvalenych sitovych karet, ktere si nekdo napevno
> nastavi na adresu pridelenou (a nejde jen o to, ze si nekdo vymeni
> sitovku - jde o to, ze proste prijde nekdo novy a pripoji si pocitac).

Nesouhlasim. Nepridelene adresy se proste zakazou ve firewallu a pridelene
se svazou s MAC adresou statickym zaznamem v ARP tabulce (jak uz jsem
ostatne psal vyse). Takze pres nepridelene adresy nepujde komunikovat ani
jednim smerem a pres pridelene (s jinou sitovkou) pouze smerem ven, coz je
asi tak nejvic ceho se da dosahnout.

Je ale fakt, ze kdyz budes mit staticke ARP zaznamy na vsechny adresy,
poznas vzdycky z logu, ze "nekdo neco zkousel", protoze kernel zahlasi, ze
se nekdo dynamicky pokousel zmenit ARP zaznam. (Coz ovsem nevylucuje
kombinaci s firewallem - napr. na vnejsim interfacu.)

> 	Jinak se ale neda spolehnout na bezpecnost takoveho reseni - u dnesnich
> karet jde uz MAC menit vetsinou zcela bez omezeni, takze utocnik jiz
> nekrade IP adresu, ale MAC (a IP uz mu prideli DHCP/BOOTP).

Joo, to je zivot. Chtelo by to nejaky ethfw. ;)

Martin

Previous message: arp
Next message: arp
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list