|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vadim Goncharov 2:5020/400 08 Feb 2007 17:21:11
To : Alexander Kolesnikoff
Subject : Re: поделитесь dhcpd.conf
--------------------------------------------------------------------------------
Hi Alexander Kolesnikoff!
On Thu, 8 Feb 2007 01:04:58 +0000 (UTC); Alexander Kolesnikoff wrote about 'Re:
поделитесь dhcpd.conf':
K>>>>> Хочется если по маку dhcpd не находит соответствия, то выделяет
K>>>>> клиенту адрес из 10.0.1. сети. Это будет работать?
K>>>>> В результате при попытки вылести на любую страницу, его
K>>>>> транспарент прокси перенаправляет на страницу, где ему рассказываю
K>>>>> куда звонить или что делать, чтобы заработало. Это уже работает.
>>>>>Так ведь у тебя клиент себе изначально руками ставит адрес - как ты его
>>>>>перешибешь?
VD>>>> Hапример, свичом. Port-security или как бишь это там в цисках
>>>> называется. VD> Когда свич следит за dhcp-трафиком и пропускает пакеты
>>>> только от тех IP VD> адресов, которые он видел как были честно получены
>>>> по dhcp.
>>>> Всегда было непонятно, каким же это образом безопасности добавляет, если
>>>> на клиенте мак можно поменять.
AK>>> Поищи информацию на cisco.com по ключевым словам "DHCP Snooping", "IP
AK>>> Source Guard", "Dynamic ARP Inspection".
>>> Притаскиваем левую машину и прописываем на ней мак, прибитый к этому
>>> порту. Hу и?
AK>> Тебе что, саму машину надо прибить гвоздями к порту?
>> См. моё соседнее письмо по этой теме Семеняке.
AK> Прочитал. Честно говоря, постановка задачи для твоего случая мне так и не
AK> ясна. С одной стороны тебе нужна авторизация, но лишних телодвижений делать
AK> не хочется (так не бывает), с другой стороны желательно запретить
AK> пользователю вставлять в машину левый HDD , а это уже физическая
AK> безопасность по большей части (замки, датчики открытия корпуса...можно
AK> наверное и в сторону 802.1x посмотреть, XP генерит уникальный ID системы
AK> при такой авторизации, но сам я не проверял). Hо всё это - задачи,
AK> действительно имеющие малое касательство к DHCP-snooping etc. NAC - Network
AK> Admission Control, может тебе действительно это и нужно?
Постановка задачи у меня простая - мне мешает геморрой, создаваемый
товарищми, которые делают это якобы ради безопасности, в то время как
в действительности это безопасности не добавляет - для ней нужны другие
средства.
--
WBR, Vadim Goncharov. ICQ#166852181 mailto:vadim_nuclight@mail.ru
[Moderator of RU.ANTI-ECOLOGY][FreeBSD][http://antigreen.org][LJ:/nuclight]
--- slrn/0.9.8.1 on FreeBSD 4.11/i386
* Origin: Nuclear Lightning @ Tomsk, TPU AVTF Hostel (2:5020/400@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
