Idegen DHCP szerver a halon - HEEEELP!
Somogyi László
somogyi at drgall.t-online.hu
2010. Feb. 10., Sze, 12:47:29 CET
Azt nem értem, hogyan bontakozik ki vita akörül, hogy fix ip vagy
dinamikus ip a biztonságos???
Ez nem biztonsági kérdés ugyanis. Értelmetlen egyiket vagy másikat
biztonságosabbnak nevezni.
A biztonság ott kezdődik, hogy szegmentálod a hálót és eldöntöd
melyikből melyikbe mi mehet át.
Egyes alhálókon belül mit használsz, fixet vagy sem, nem biztonsági kérdés.
Azok pártján állok, akik jól dokumentált rendszert üzemeltetnek, értem
ez alatt, hogy nyilvántartásban van minden mac és minden fix ip, és
minden switch port, fali kábel és fali aljzatok meg felcímkézve szintén.
Akár menedzselhető a switch, akár nem. (jobb ha igen)
(Hab a tortán ha van változás figyelő szoftver lehetőség, de nem ez a
döntő.)
Vettem át már olyan rendszert, ahol ez nem volt és több száz gép és
különálló épületek mind egybe voltak ömlesztve publikus ip címekkel.
Igaz, hogy a kezdeti adminisztráció kettőnknek több hónap volt, de
megérte a fix ip-k mellett dönteni így is. Persze privát ip,
szegmentálva. A többi munkafegyelem kérdése, rögtön adminisztrálod, ha
valami változott.
Emellett manapság létjogosultsága van a vezetéknélküli lefedettségnek
is, ebbe az irányba mozdul a világ, de csak azonosítással, főleg sulinet
esetében, és az intézményi hálótól való szigorú elkülönítéssel.
Idegen dhcp így tud a legkevesebb kárt okozni. Ha pedig van valami
hálózatmonitorozó, amiről többször volt már szó ezen a listán, akkor az
idegen eszköz is lebukik előbb-utóbb. Dokumentált rendszernél nagyon
gyorsan. Hasonlóan az ip cím ütközés is, ha valaki idegen próbálja
lefoglalni a dokumentációban szereplő ip-t.
Szóval dokumentáció, ennyit akartam csak mondani.
sl
További információk a(z) Techinfo levelezőlistáról