On Nov 3, 2009, at 10:17 PM, Dan Lukes wrote:
Filip Huška wrote:
(jak resit ARP inspection?)
Typicky ? Neresit ;-)
Problemy, ktery ARP inspection resi ma jina reseni, ktera navic
pokryvaji i jine metody utoku.
Mno nevim. Prvni, kam se koukam - mac adresy. A v 99% se
nepotrebuju koukat jinam. V tomto se nase nazory budou silne lisit.
Je fakt, ze sice mam k dispozici vetsi vzorek, nez je lokalni sit
Tim spis. To by me fakt zajimalo, jak pri nelokalni komunikaci
poznas, ze komunikujes s nekym jinym nez bys mel tim, ze kouknes na
MAC adresu.
Flow export na routeru, mac table ve vlan. A hlavne resis lokalni
sit, kdyz mas zamenu IPcek. Mas tam neposedy. Kdyz mas lanku, mas
router {vetsinou}, pak tedy mac table na portu {i virtualnim vlan} s
flow exportem. Ale co se deje pred routerem, me az tak nezajima, tam
problemy jsou minimalne, ale dopad na "lanku" at ma lokalni ci verejne
adresy je fatalni.
Klienti dokazi udelat luxusni bordel, aniz by to vedeli.
Mam klienty. Velkou sit. Nekolik, ktere jsou navzajem nelokalni.
Bordel samozrejme delaji. Uz pres deset let. Nesezral jsem veskerou
moudrost, ale neco malo uz jsem na sitich videl. Kupodivu - i
klienty delajici bordel. ;-)
ja pozoruju posledni dobou, ze jsou v tom celkem nevinne. Problem je
virtualizace s generovanim mac adres.
Ale nebudeme tu prece soutezit v tom, kdo ma vetsi. Na velikosti,
jak jsem slysel, nezalezi.
Bezpredmetne, souhlasim, jen jsem chtel naznacit, ze ten vyskyt mam
casto a proc casto.
Ja ti nadseni z ARP inspection neberu. Ja jen konstatuju, ze kdyz
vyresim problemy, ktere by po aplikaci ARP inspection zbyly jako
nevyresene tak se ukaze, ze (pote) muzu ARP inspection zase klidne
odstranit a presto podstatnych nevyresenych problemu nepribude. To,
co resi uz vyresila ta ostatni opatreni, ktera jsem tam musel dat
kvuli problemum, ktere ARP inspection neresila.
Tak predstavme si DDOS. tece ti siti, treba wifi, pres 3 nejake
boxy ... a najednou ten mac, zmizne. co se stane, kdyz IP je prelozena
na MAC, posle to na port {i virtualni}, ale nevi na jakej, kdyz
vyprchala ? Nebo ukradeni ip adresy brany ... vsichni routuji na
nejaky komp, protoze PACIENT si splet branu s IPckem. a jak najit
pacienta co nejdrive a tak ... myslim, ze svoji mac tabulku uz jeno
pro kontrolu IP adres by mel mit jako zaklad kazdy.
Nehlede o vyscriptovani do quaggy {jakykoliv ekv} na automaticke
pravidlo ip/32 do /dev/null a tak.
Ja nevim, neni to nadseni, je to nutnost. S definici nadseni s Tebou
nesouhlasim, nadseny bych byl, kdybych
to nepotreboval vubec a mohl spat kazdou noc v roce.
f.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
