Zero configuration network

Filip Huška filip.huska at coolhousing.net
Tue Nov 3 23:31:46 CET 2009


On Nov 3, 2009, at 10:17 PM, Dan Lukes wrote:

> Filip Huška wrote:
>>>> (jak resit ARP inspection?)
>>>
>>> Typicky ? Neresit ;-)
>>>
>>> Problemy, ktery ARP inspection resi ma jina reseni, ktera navic  
>>> pokryvaji i jine metody utoku.
>
>> Mno nevim. Prvni, kam se koukam  - mac adresy. A v 99% se  
>> nepotrebuju koukat jinam. V tomto se nase nazory budou silne lisit.  
>> Je fakt, ze sice mam k dispozici vetsi vzorek, nez je lokalni sit
>
> Tim spis. To by me fakt zajimalo, jak pri nelokalni komunikaci  
> poznas, ze komunikujes s nekym jinym nez bys mel tim, ze kouknes na  
> MAC adresu.
Flow export na routeru, mac table ve vlan.  A hlavne resis lokalni  
sit, kdyz mas zamenu IPcek. Mas tam neposedy. Kdyz mas lanku, mas  
router {vetsinou}, pak tedy mac table na portu {i virtualnim vlan} s  
flow exportem. Ale co se deje pred routerem, me az tak nezajima, tam  
problemy jsou minimalne, ale dopad na "lanku" at ma lokalni ci verejne  
adresy je fatalni.

>
>
>> Klienti dokazi udelat luxusni bordel, aniz by to vedeli.
>
> Mam klienty. Velkou sit. Nekolik, ktere jsou navzajem nelokalni.  
> Bordel samozrejme delaji. Uz pres deset let. Nesezral jsem veskerou  
> moudrost, ale neco malo uz jsem na sitich videl. Kupodivu - i  
> klienty delajici bordel. ;-)
>
ja pozoruju posledni dobou, ze jsou v tom celkem nevinne. Problem je  
virtualizace s generovanim mac adres.

> Ale nebudeme tu prece soutezit v tom, kdo ma vetsi. Na velikosti,  
> jak jsem slysel, nezalezi.
>
Bezpredmetne, souhlasim, jen jsem chtel naznacit, ze ten vyskyt mam  
casto a proc casto.

> Ja ti nadseni z ARP inspection neberu. Ja jen konstatuju, ze kdyz  
> vyresim problemy, ktere by po aplikaci ARP inspection zbyly jako  
> nevyresene tak se ukaze, ze (pote) muzu ARP inspection zase klidne  
> odstranit a presto podstatnych nevyresenych problemu nepribude. To,  
> co resi uz vyresila ta ostatni opatreni, ktera jsem tam musel dat  
> kvuli problemum, ktere ARP inspection neresila.
Tak predstavme si DDOS. tece ti siti, treba wifi, pres 3 nejake  
boxy ... a najednou ten mac, zmizne. co se stane, kdyz IP je prelozena  
na MAC, posle to na port {i virtualni}, ale nevi na jakej, kdyz  
vyprchala ? Nebo ukradeni ip adresy brany ... vsichni routuji na  
nejaky komp, protoze PACIENT si splet branu s IPckem. a jak najit  
pacienta co nejdrive a tak ... myslim, ze svoji mac tabulku uz jeno  
pro kontrolu IP adres by mel mit jako zaklad kazdy.
Nehlede o vyscriptovani do quaggy {jakykoliv ekv} na automaticke  
pravidlo ip/32 do /dev/null a tak.
Ja nevim, neni to nadseni, je to nutnost. S definici nadseni s Tebou  
nesouhlasim, nadseny bych byl, kdybych
to nepotreboval vubec a mohl spat kazdou noc v roce.
f.


>
>
> 					Dan
>
>
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>




More information about the Users-l mailing list