LINUX.ORG.RU

статические или динамические?


0

0

Как с позиции безопасности лучше? Есть локалка, в которой основной протокол - NetBEUI, а TCP служит только для почты и Инета и вообще не привязан ни к чему. То есть нет доступа через TCP к расшаренным ресурсам пользователей. Если IP динамический (DHCP), то сегодня он у юзера один, завтра другой, это, ИМХО, повышает безопасность в сети. Правда, создаёт проблемы с сервисами Линукса, например, с подсчётом трафика по юзерам. Проще было бы написать 1 раз файл HOSTS и успокоиться. На Линуксе стоит iptables, squid, sarg, sendmail, pop3d, ftpd. Буду признателен за любые опровержения, уточнения и дополнения к моей концепции защиты


С помощью DHCP можно раздавать IP по MAC адресу и поэтому можно зделать статические IP, но назначать их динамически. Также DHCP _очень_ сильно упрощает администрирование сети. С другой стороны установленый DHCP это программа которая точно имеет хотябы одну ошибку соответственно надо следить за ошибками обнаруженими в ней и вовремя ставить апдейты. Лично я не рекомендовал бы запускать DHCP демон на компе который не стоит за файрволом.

И ещё, я не совсем понимаю как ты будеш считать трафик по юзерам?

Alximik
()

SARGом, конечно...

В squid была введена принудительная аутентификация по паролям, все вынуждены вводить свой пароль, если хотят в Инет. Неудобно, конечно, но дисциплинирует... (трафик-то помегабайтно оплачивается). Кстати, после введения паролей общий трафик снизился с 120-140Мб до 40-60Мб в день... Потом обрабатываю SARGом логи и вуаля: получаю кто, сколько, когда и куда... Табличка печатается и отдаётся начальству на рассмотрение. Был, конечно, прецедент с 1м "хацкером", но не учёл он того, что DHCP не менял назначенных IP-адресов в течение месяца, и пока вроде не собирается и дальше. В общем, поймали и "пристыдили"... Пока непонятно, чего это DHCP адреса не меняет, пора бы уже...

Azar
() автор топика

А еще можно dhcp+named
а squid-у говорим непускать нерелозвленные адресса в интет
а ttl на жизнь адреса ставим минут пять.

И тут совсем косяк если кацкер ставит ip адрес в ручную у него либо
есть пять минут либо его вообще непустит никто.

Aleks_IZA
()

а как их скрестить: named+dhcpd?

Разъясните, или дайте ссылочку, где почитать...

Azar
() автор топика

>а как их скрестить: named+dhcpd?
Хм берем и читаем доку по бете dhcp серверу там все написанно, и
ddns в named.

Aleks_IZA
()

2Aleks IZA:

>И тут совсем косяк если кацкер ставит ip адрес в ручную у него либо
>есть пять минут либо его вообще непустит никто.

Тоже мне защита. А если "кацкер" ставит MAC вручную - тоды как?

abramoff
()
Ответ на: комментарий от abramoff

> Тоже мне защита. А если "кацкер" ставит MAC вручную - тоды как?
Togda nado na Cisco Catalist port security configurit' :)

ivlad ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.