Общее адресное пространство для всех программ имхо убивает безопасность
Не убивает — managed код, запрет на адресную арифметику — и тучи рассеиваются, мир становится солнечным.
Меня в этом проекте больше смущает производительность, соблазн использовать винт понятен — но это ж медленно, не выкопаем ли мы себе на нем могилу?..
Кстати, да.
Критерий отсева весьма странный: вы если техническую производительность тестируете, то какая разница по каким принципам происходят ее продажи?
Отслеживание, да — безусловно сработает. Ну разве что, за исключением одновременной DoS атаки на валидный DHCP — что обычно заметно.
Собственно мониторинг появления Rogue DHCP в сети (по кол-ву приходящих клиенту ответов) и есть нативный способ борьбы с этой угрозой.
Полный IPSec внутри (Domain Isolation) — наверное тоже спасет, но средство радикальное…
Сколько лишних подробностей… Надеюсь защитой гостайны в вашей организации не вы занимаетесь? А то за державу обидно…
Имеем DHCP сервер в L2 сегменте. Задача — MITM.
Для реализации необходимо, чтобы ответ от нашего сервера пришел раньше, чем от валидного. В заданных условиях это с хорошей вероятностью достигается просто потому, что мы а) ближе, б) ничем не загружены, в отличие от циски. Можно и понадежнее (долбить ответами постоянно, предварительно исчерпать диапазон выдаваемый циской), но упростим.
Обход ACL cisco — для уже выданных адресов можно не делать ничего, они уже в разрешенных, для новых — запросим их предварительно в качестве DHCP клиента.
Собственно все, вся остальная защита нам по боку.
Далее имеем возможность подменить default gateway, коль уж она у вас «с помощью своих коллег и маршрутизатор», то «маршрут по умолчанию» у вас таки есть, да если и не было — то будет. И пропустить весь трафик сегмента через себя — получив т.о. доступ к «гостайне». Ибо про IPSec внутри, например, до файл-сервера у вас не слова.
Так же имеем возможность подменить DNS сервера и через это подменить адрес
прокси (про подмену адреса DC и вытекающие возможности пока забудем) и перехватить ваш пароль от интернета. Про возможность MITM в SSL — отдельно спорить желаете?
(Здесь мы не будем вспоминать, про дополнительную возможность подмены WPAD)
Передаем гостайну в страшный интернет от вашего имени.
И остаетесь такой красивый вы объясняться с вашей гэбней.
И даже постоил не одну :)
Давайте поспорим на какую-нибудь ощутимую сумму — $1000? С радостью воткну свой DHCP в вашу сеть и даже расскажу, что я получил.
С каким «левым адресом»? Чем он от «правого» отличается? «Такой же, но радости не приносит»?
Какое отношение к входу в домен, сетевым дискам, домашней папке пользователя, VLAN, циске, длинку, файрволу и PKI имеет DHCP вообще?
Не хочу хамить, но ник у вас очень точный…
Авторизация DHCP серверов в AD — это больше защита от дурака, чем от хакеров.
Зачем Rogue DHCP быть в вашем домене?
Зачем ему вообще быть на базе Windows?
Откуда информация про «тот же сервер, что и прошлый раз»? По RFC — кто первый прислал, того и тапки.
И MS тоже самое пишет: More than one DHCP server can respond with a DHCPOffer message. The client accepts the best offer, which, for a Windows DHCP client, is the first DHCPOffer message that it receives.
Да и если адрес DHCP проверять — что RogueDHCP мешает прислать Offer от адреса валидного DHCP?
«После регистрации в домене компы должны получать IP только от авторизированных в домене серверов» — как? У компьютера адреса нет — что он может проверить? Как он к DC обратится? С чего вы решили, что доменный компьютер может использоваться только в доменной сети?
Этот «фокус» пройдет только с IP-NAT, т.е. только если внешний порт останется таким же как внутренний — 2222.
Через PNAT (коих 99%) фокус не пройдет — если только случайно порт не оттранслируется в те же 2222.
Собственно промежуточный хост в STUN в основном и нужен для того, чтобы внешние порты друг друга сторонам сообщить, IP и через какой-нибудь фокус (вроде этого) можно было протолкнуть.
Общее адресное пространство для всех программ имхо убивает безопасностьНе убивает — managed код, запрет на адресную арифметику — и тучи рассеиваются, мир становится солнечным.
Меня в этом проекте больше смущает производительность, соблазн использовать винт понятен — но это ж медленно, не выкопаем ли мы себе на нем могилу?..
Критерий отсева весьма странный: вы если техническую производительность тестируете, то какая разница по каким принципам происходят ее продажи?
www.i-odd.com/
Очень клевая и полезная штука
Собственно мониторинг появления Rogue DHCP в сети (по кол-ву приходящих клиенту ответов) и есть нативный способ борьбы с этой угрозой.
Полный IPSec внутри (Domain Isolation) — наверное тоже спасет, но средство радикальное…
Имеем DHCP сервер в L2 сегменте. Задача — MITM.
Для реализации необходимо, чтобы ответ от нашего сервера пришел раньше, чем от валидного. В заданных условиях это с хорошей вероятностью достигается просто потому, что мы а) ближе, б) ничем не загружены, в отличие от циски. Можно и понадежнее (долбить ответами постоянно, предварительно исчерпать диапазон выдаваемый циской), но упростим.
Обход ACL cisco — для уже выданных адресов можно не делать ничего, они уже в разрешенных, для новых — запросим их предварительно в качестве DHCP клиента.
Собственно все, вся остальная защита нам по боку.
Далее имеем возможность подменить default gateway, коль уж она у вас «с помощью своих коллег и маршрутизатор», то «маршрут по умолчанию» у вас таки есть, да если и не было — то будет. И пропустить весь трафик сегмента через себя — получив т.о. доступ к «гостайне». Ибо про IPSec внутри, например, до файл-сервера у вас не слова.
Так же имеем возможность подменить DNS сервера и через это подменить адрес
прокси (про подмену адреса DC и вытекающие возможности пока забудем) и перехватить ваш пароль от интернета. Про возможность MITM в SSL — отдельно спорить желаете?
(Здесь мы не будем вспоминать, про дополнительную возможность подмены WPAD)
Передаем гостайну в страшный интернет от вашего имени.
И остаетесь такой красивый вы объясняться с вашей гэбней.
Давайте поспорим на какую-нибудь ощутимую сумму — $1000? С радостью воткну свой DHCP в вашу сеть и даже расскажу, что я получил.
Какое отношение к входу в домен, сетевым дискам, домашней папке пользователя, VLAN, циске, длинку, файрволу и PKI имеет DHCP вообще?
Не хочу хамить, но ник у вас очень точный…
Вопрос в том, что про это вообще можно нового написать?
Зачем Rogue DHCP быть в вашем домене?
Зачем ему вообще быть на базе Windows?
Откуда информация про «тот же сервер, что и прошлый раз»? По RFC — кто первый прислал, того и тапки.
И MS тоже самое пишет: More than one DHCP server can respond with a DHCPOffer message. The client accepts the best offer, which, for a Windows DHCP client, is the first DHCPOffer message that it receives.
Да и если адрес DHCP проверять — что RogueDHCP мешает прислать Offer от адреса валидного DHCP?
«После регистрации в домене компы должны получать IP только от авторизированных в домене серверов» — как? У компьютера адреса нет — что он может проверить? Как он к DC обратится? С чего вы решили, что доменный компьютер может использоваться только в доменной сети?
Через PNAT (коих 99%) фокус не пройдет — если только случайно порт не оттранслируется в те же 2222.
Собственно промежуточный хост в STUN в основном и нужен для того, чтобы внешние порты друг друга сторонам сообщить, IP и через какой-нибудь фокус (вроде этого) можно было протолкнуть.
> Пока такой возможности нет, так как надо придумывать как это учитывать в биллинге.
Вы уверены, что такая схема лицензирования вообще у MS есть? Амазон где-то писал, что оно невозможно.