|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Serguei E. Leontiev 2:5020/400 10 Oct 2001 18:53:52
To : Vadim Naimushin
Subject : Re: DHCP плохо или хорошо?
--------------------------------------------------------------------------------
Здравствуйте,
"Vadim Naimushin" <Vadim.Naimushin@f101.n5080.z2.fidonet.org>
сообщил/сообщила в новостях следующее: news:1002706243@f101.n5080.z2.ftn...
> Hello Dmitry.
>
> 09 Oct 2001 22:19, you wrote to me:
>
> VN>> Все дело в том, что на сегодняшнем этапе мне необходимо определиться
> VN>> вообще. То
> VN>> есть учесть основные за и против. Конкретная реализация не
интересна,
Какие основные безопасности у протокола DHCP (извините за повтор
общеизвестных истин).
Обычно, клиент DHCP не имеет дополнительной информации для анализа
допустимости DHCP ответа. Соответственно, если он получит некорректный
ответ, то он получит некорректные IP адреса: свои, маршрутизатора(ов), DNS
серверов, NIS/NIS+ серверов, WINS серверов и т.д., а так же не корректную
маску сети, имя компьютера, название DNS зоны и другие параметры.
Собственно, что следует делать для безопасного использования DHCP. Модель
нарушителя и ОБЯЗАТЕЛЬHЫЕ организационные меры защиты, опускаю. Варианты
технических мер защиты:
1. Обеспечить отсутствие неавторизованных DHCP серверов сети следующими
мерами:
а. контроль за отсутствием левых физических подключений;
б. контроль за целостностью ПО на компьютерах сети;
в. фильтрация входящих извне сети DHCP пакетов (включая proxy);
г. протоколирование DHCP ответов;
д. сигнализация об обнаружении ответов от неавторизованных DHCP
серверов;
е. ведение базы MAC адресов.
2. Обеспечить отсутствие DHCP ответов от неавторизованных DHCP серверов
следующими мерами:
а. фильтрация на коммутаторах Ethernet;
б. протоколирование DHCP ответов;
в. сигнализация об обнаружении попыток послать ответы от
неавторизованных DHCP серверов;
г. ведение базы MAC адресов;
д. желательны меры п.1а, т.к. фильтрация не обеспечивает защиты от
физического подключения, а ещё и п. 1б, т.к. можно соорудить DHCP сервер,
грубо говоря, на localhost.
3. Обеспечить отсутствие вредных последствий от неавторизованных DHCP
серверов следующими мерами:
а. Построить схему разграничения доступа в сети (включая МЭ) не
зависящую от адресов и имён:
- Kerberos/DCE (W2k+Unix);
- NIS+ (Sun);
- TLS/SSL аутентификация;
б. желательны меры пп. 1 или 2, т.к. в этом случае возможна DoS атака.
В принципе, можно построить DHCP сервер, который будет гарантировано давить
все остальные DHCP сервера в домене коллизий Ethernet, но я не слышал о
таком чуде природе. Тем более, что с распространением коммутаторов Ethernet
это чудо теряет своих потребителей :)
> DR> Так что, если есть возможность, лучше создавать сеть со
> DR> статическими IP.
> Согласен, но в большой сети может проще подобрать неглючную реализацию
DHCP
> сервера?
DHCP, DHCP, а ARP не беспокоит? Если не беспокоит, то зря:)
Собственно, условия безопасной эксплуатации DHCP являются, в некотором
смысле, подмножеством условий безопасной эксплуатации ARP, если не учитывать
аспекты proxy-DHCP, динамического DNS и proxy-ARP.
Так, что не бойся. Пользуйся DHCP на здоровье.
--
Сергей Е. Леонтьев, http://www.CryptoPro.ru
--- ifmail v.2.15dev5
* Origin: OOO Crypto-Pro (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
