Маршрутизаторы в домашних сетях - нужны или они?

Маршрутизаторы в домашних сетях - нужны или они? Если нужны, то какое ПО для них лучше? Если нет - что сделать для сетки с >100 компов?

Для передотвращения появления бродкаст-шторма, да и снифферы списать на нет, можно использовать статическую ассоциацию IP и MAC.

Hey, don't you hear me? I'm still here. Even if you don't...

Макс писал(-а):
Для передотвращения появления бродкаст-шторма, да и снифферы списать на нет, можно использовать статическую ассоциацию IP и MAC.

Гы. Я тоже когда-то так думал.:) Смешно lol Извините :oops:

Начнем разбираться? ?

Первое - при статической ассоциации IP и MAC (которая подразумевает статическуй IP-адресацию), WINS нах не нужен - достаточно ДНС wink Тем более что ДНС все равно придется поднимать, поскольку резолвит имена из инета именно он - значит нет ДНС - нет нормального инет (я молчу про траффик на намед прова, если имена не кешируются на роутере, а запросы от клиентов натятся прямо к прову, кстати зачем тогда роутер?).

Второе. Даже при 100 компах ассоциация IP-MAC является довольно прикольной задачей. Апгрейды сетевух, например :) Плюс есть прекрасная возможность (очень малоизвестная, к сожалению) по подмене MAC-адреса. Набери в гугле "faking MAC-address" и пошарься. Кроме того без нормального разруливания траффика на транспортном уровне (вплоть до физического) с сетки можно снять всю инфу по ассоциации IP-MAC и пользовать ее в своих целях, причем делается это банальным прослушиванием траффика. Чтобы не досаждать вас теорией, ссылку на которую я забыл - приведу практический пример немного другого способа решения данной проблемы. Так сказать без долгих разговоров сразу в студию. Делаешь следующее:

ping
arp -a

И таким образом по всей сети. И видишь все ассоциации. После чего подменой MAC и IP (см гуглю) формируешь фальшивый роутер, фальшивый ДНС-сервер и т.д. И балуешься по самое не балуйся, свичи сходят с ума по поводу маршрутов, заваливая всех броадкастами, а ты не можешь понять, что у тебя под носом происходит... Я думаю ты понимаешь, что данная последовательность команд не требует глубокого ума и прекрасно, а главное - компактно - алгоритмизуется и кодируется :twisted:

Третье. Допустим у нас стоят простенькие свитчики, дешевенькие и сердитенькие. SNMP еще никто не отменял, и первый подходящий троян или придурошный кулхацкер внутри сети совершенно спокойно может вызвать систематическую перезагрузку таблиц маршрутизации в этих самых свитчиках, а в силу вышеуказанного пункта - сделать это от имени админской машинки, да еще и с ее MAC-адресом :twisted: Вот тебе и броадкасты по самое не балуйся wink

Четвертое. Самое интересное, что контроль MAC-адресов может защитить от снифа только траффик между клиентом и роутером, но не между двумя клиентами. Соответственно достаточно какому-нибудь дебилу заставить свою машинку кричать, что она всех главнее (например, нагло поднять на ней контроллер домена) и она за%%ет своими широковещательными запросами всю сетку roll Единственная возможность избавиться от таких приколов - это контроль IP-MAC-ассоциации на всех машинках в сети, что как ты понимаешь, нереально. Особенно с учетом того, что это домашняя сетка, следовательно в отличие от оффиса прямого доступа к компам в удобное время админ не имеет и яйца юзерам вырывать не может roll

Вывод - для того, чтобы защитить большую сетку от таких приколов, необходимо взять солидные свичи с VLAN, правильно их сконфигурировать, а разруливание траффика не считать простой и тривиальной задачей...

В любом случае - начиная от просто раздачи инета и заканчивая локальными сетками с NetBt - достижение необходимого компромисса между безопасностью и производительностью включает в себя массу нетехнических вопросов и всегда достигается очень непростыми методами...

Все люди как люди - а я, как всегда, Дартаньян...(

1) DDNS + MAC-based DHCP + SARP на сервера рулят... Я раздвал конфу SARP через NFS, но что-то мне подсказывает, что это можно сделать с помощью yellowpages (NIS)
Ну вопрос сбор адресов для SARP решается просто - для начал собирается статистика при помощи arpwatch, из которой запросто генерится конфиг для SARP. Вопросы "поменялась сетевеха" решаются просто - позвонил админу и сказал.


2) Пидорасия с подменой MAC адресов решает примерно тем же оборудованием что и VLAN. Веесьма недешевым.
3) Простенькие свитчики с SNMP? А можно таких пару по $40 - $50 хотя б на 8 портов;)
Если уж там есть SNMP, то есть вероятно возможность писать фильры. Остается нахренячить скрипт, который будет довать доступ в сеть с порта тлько "известному" адресу....

Вывод - если есть бабло на VLAN-capable, то ИМХО можно из без них обойтись... А можно и с ними, конечно...;)

ex-K9

Аватар пользователя ALIEN2002

K9
Подмена МАСов решается переходом от подсчета инета по МАС адресам на VPN подключение. Да это шаг непопулярный очень гемморный, но позволяет больше съэкономить денег. И никаких мегасвитчей покупать не надо. Внутри используется WINS и DHCP, нафиг внутрнний DNS если в инет выход через VPN? Кстати Демон Самба позволяет винсы эти самые настраивать. Достаточно его просто поставить на роутер с DHCP.

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей