Zero configuration network
Filip Huška
filip.huska at coolhousing.net
Tue Nov 3 23:31:46 CET 2009
On Nov 3, 2009, at 10:17 PM, Dan Lukes wrote:
> Filip Huška wrote:
>>>> (jak resit ARP inspection?)
>>>
>>> Typicky ? Neresit ;-)
>>>
>>> Problemy, ktery ARP inspection resi ma jina reseni, ktera navic
>>> pokryvaji i jine metody utoku.
>
>> Mno nevim. Prvni, kam se koukam - mac adresy. A v 99% se
>> nepotrebuju koukat jinam. V tomto se nase nazory budou silne lisit.
>> Je fakt, ze sice mam k dispozici vetsi vzorek, nez je lokalni sit
>
> Tim spis. To by me fakt zajimalo, jak pri nelokalni komunikaci
> poznas, ze komunikujes s nekym jinym nez bys mel tim, ze kouknes na
> MAC adresu.
Flow export na routeru, mac table ve vlan. A hlavne resis lokalni
sit, kdyz mas zamenu IPcek. Mas tam neposedy. Kdyz mas lanku, mas
router {vetsinou}, pak tedy mac table na portu {i virtualnim vlan} s
flow exportem. Ale co se deje pred routerem, me az tak nezajima, tam
problemy jsou minimalne, ale dopad na "lanku" at ma lokalni ci verejne
adresy je fatalni.
>
>
>> Klienti dokazi udelat luxusni bordel, aniz by to vedeli.
>
> Mam klienty. Velkou sit. Nekolik, ktere jsou navzajem nelokalni.
> Bordel samozrejme delaji. Uz pres deset let. Nesezral jsem veskerou
> moudrost, ale neco malo uz jsem na sitich videl. Kupodivu - i
> klienty delajici bordel. ;-)
>
ja pozoruju posledni dobou, ze jsou v tom celkem nevinne. Problem je
virtualizace s generovanim mac adres.
> Ale nebudeme tu prece soutezit v tom, kdo ma vetsi. Na velikosti,
> jak jsem slysel, nezalezi.
>
Bezpredmetne, souhlasim, jen jsem chtel naznacit, ze ten vyskyt mam
casto a proc casto.
> Ja ti nadseni z ARP inspection neberu. Ja jen konstatuju, ze kdyz
> vyresim problemy, ktere by po aplikaci ARP inspection zbyly jako
> nevyresene tak se ukaze, ze (pote) muzu ARP inspection zase klidne
> odstranit a presto podstatnych nevyresenych problemu nepribude. To,
> co resi uz vyresila ta ostatni opatreni, ktera jsem tam musel dat
> kvuli problemum, ktere ARP inspection neresila.
Tak predstavme si DDOS. tece ti siti, treba wifi, pres 3 nejake
boxy ... a najednou ten mac, zmizne. co se stane, kdyz IP je prelozena
na MAC, posle to na port {i virtualni}, ale nevi na jakej, kdyz
vyprchala ? Nebo ukradeni ip adresy brany ... vsichni routuji na
nejaky komp, protoze PACIENT si splet branu s IPckem. a jak najit
pacienta co nejdrive a tak ... myslim, ze svoji mac tabulku uz jeno
pro kontrolu IP adres by mel mit jako zaklad kazdy.
Nehlede o vyscriptovani do quaggy {jakykoliv ekv} na automaticke
pravidlo ip/32 do /dev/null a tak.
Ja nevim, neni to nadseni, je to nutnost. S definici nadseni s Tebou
nesouhlasim, nadseny bych byl, kdybych
to nepotreboval vubec a mohl spat kazdou noc v roce.
f.
>
>
> Dan
>
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
More information about the Users-l
mailing list