Strona 1 z 1
Konflikty IP czy da się przeciwdziałać ?
: 24 lis 2015, 14:49
autor: DOOM
Witam,
Dziś jeden z userów zmienił sobie adres ip na statyczny, puścił ping na router i switch core`owy. Adres który wybrał był adresem ip centrali telefonicznej z której korzystają 3 oddziały w Polsce. Zmieniły się wpisy w tablicy ARP i każdy z oddziałów stracił połączenie do centrali telefonicznej. Dopiero porównanie wpisów z tablic ARP kilku urządzeń pozwoliło mi określić co dokładnie się stało. Jest jakaś możliwość przeciwdziałania takim przypadkom ?
: 24 lis 2015, 15:02
autor: garfield
DHCP snooping + Dynamic ARP Inspection + IP Source guard
Re: Konflikty IP czy da się przeciwdziałać ?
: 24 lis 2015, 16:35
autor: Kyniu
DOOM pisze: Jest jakaś możliwość przeciwdziałania takim przypadkom ?
Nie dawać użyszkodnikom praw administracyjnych na komputerach to nie zmienią sobie adresu.
A na BYOD stworzyć całkiem osobną sieć w której nie masz tak istotnych zasobów.
: 25 lis 2015, 10:29
autor: awo
Można za pomocą IPAM ale to i tak nie ochroni przed userem.
Ale nie jesteście jedyni. Były już przypadki że główny CRM wisiał na IP który ktoś zabrał sobie dla PC
Tak... płaskie sieci też były
: 25 lis 2015, 11:13
autor: mabes
Nie dawać użyszkodnikom praw administracyjnych na komputerach to nie zmienią sobie adresu.
Według mnie nie tędy droga, jako człowiek od sieci musisz zabezpieczyć sieć, a nie ufać że zrobi to ktoś od systemów (a jak nie zrobi to będzie na niego
). Tym bardziej że jak wspomnieliście jest kilka fajnych i eleganckich sposobów na to.
: 25 lis 2015, 11:45
autor: Kyniu
mabes pisze:Według mnie nie tędy droga, jako człowiek od sieci musisz zabezpieczyć sieć, a nie ufać że zrobi to ktoś od systemów (a jak nie zrobi to będzie na niego
).
Jak ja kocham jak przychodzą na forum newbies i nawet nie spojrzą na rangę przedmówcy któremu odpisują i wypisują swoje mądrości.
: 25 lis 2015, 14:03
autor: jarek6
A moze warto bylo by wazne rzeczy (czytaj: centralke) wrzucic do osbonego VLAN, gdzie nie ma swobodnego dostepu userow i po klopocie ? Ewentualnie userow wrzucic do innego segmentu.
: 25 lis 2015, 14:33
autor: Kyniu
seba766 pisze:A na tym forum nie polega aby dyskutować nie zależnie od rangi?
Polega tylko po co dyskutować o truizmach. Odpowiedź jak to zrobić na poziomie sieci padła. Ja dodałem jak to zrobić szybko i bez kupowania sprzętu, a przy okazji zabezpieczyć się przed innymi problemami. Wypowiedź mabesa to było już tylko czcze bicie piany.
: 25 lis 2015, 21:13
autor: mabes
To ile musze natrzaskac tematow na tym forum zeby moc wyrazic swoje zdanie?
Założenie jest takie ze nie mozesz ufac temu co jest podpiete przez użytkownika końcowego i tyle. Takie podejscie adminow ze trzeba odbierac prawa administratora za wszelka cene zawsze mnie irytowalo, ale przepraszam ze osmielilem sie wtracic swoje 3 grosze...
P.S
Zauwazylem ze kolejny raz podnosisz kwestie swojego stazu na tym forum, dodaje to jakies punkty do wiedzy i doswiadczenia?
: 25 lis 2015, 21:29
autor: Kyniu
mabes pisze:To ile musze natrzaskac tematow na tym forum zeby moc wyrazic swoje zdanie?
Sam musisz do tego dojść.
mabes pisze:Takie podejscie adminow ze trzeba odbierac prawa administratora za wszelka cene zawsze mnie irytowalo
Rozsądny admin sam nigdy nie pracuje na prawach admina. A co dopiero pozwalać na to użyszkodnikom.
: 25 lis 2015, 21:43
autor: bigboss
mabes pisze:To ile musze natrzaskac tematow na tym forum zeby moc wyrazic swoje zdanie?
(...)
P.S
Zauwazylem ze kolejny raz podnosisz kwestie swojego stazu na tym forum, dodaje to jakies punkty do wiedzy i doswiadczenia?
To jest, widzisz, taka świecka tradycja w naszym fight klubie.
Ilekroć jakiś weteran przyłapie kota (<100 postów), który wtrąca swoje 3 grosze i zbluzga go za brak szacunku, to autor wątku musi kliknąć weteranowi "helped", czyli "you helped to kick the cat". Ja jestem trochę do tyłu, ale Kyniu jest czujny i ma już dużo punktów.
Kto będzie miał 1000 punktów, ten dostanie czołg.
Więc poczekaj spokojnie, jeszcze trochę i sam będziesz mógł w to zagrać.
Ona jest ekstra, ta tradycja i bardzo stara, dlatego nazywa się ekstradycja.
I nie mów nikomu, bo pierwsza zasada jest taka, że nie ma żadnego klubu.
Ten post ulegnie samozniszczeniu.
: 05 gru 2015, 21:44
autor: bbartlomiej
Kyniu pisze:mabes pisze:Według mnie nie tędy droga, jako człowiek od sieci musisz zabezpieczyć sieć, a nie ufać że zrobi to ktoś od systemów (a jak nie zrobi to będzie na niego
).
Jak ja kocham jak przychodzą na forum newbies i nawet nie spojrzą na rangę przedmówcy któremu odpisują i wypisują swoje mądrości.
Błagam, powiedz, że ten post to był żart.
: 06 gru 2015, 09:08
autor: Sofcik
Kyniu pisze:
Rozsądny admin sam nigdy nie pracuje na prawach admina. A co dopiero pozwalać na to użyszkodnikom.
Żaden rozsądny admin nie nazywa użytkowników "użyszkodnikami" - to dzięki nim mamy pracę i należy ich szanować bez względu na to jakie głupie/dziwne/niebezpieczne rzeczy robią w sieci/na serwerze/na stacji roboczej.
ONI są Twoimi klientami, a Ty dostajesz pieniądze za to, że DLA NICH pracujesz.
A mądry administrator umie tak skonfigurować stację by nie były potrzebne prawa administratora bądź umie ograniczyć ewentualne szkody.
Taki off-topic...
--
Piotrek
: 06 gru 2015, 11:30
autor: Kyniu
Sofcik pisze:
Żaden rozsądny admin nie nazywa użytkowników "użyszkodnikami"
A ja nazywam. Przy pełnej tego świadomości - i akceptacji - z ich strony.
Sofcik pisze:
ONI są Twoimi klientami
Nie, nie są.
Sofcik pisze:
a Ty dostajesz pieniądze za to, że DLA NICH pracujesz.
Hmm, ująłbym to inaczej, ale wtedy to już pewne, że kilka osób z tego forum w duchu politycznej poprawności spaliłoby mnie na stosie. Aczkolwiek nie, to nie dla nich pracuje. I nie za dobre relacje z nimi czy ich satysfakcję dostaje pieniądze. Skądinąd z doświadczenia powiedziałbym, że jeśli użyszkodnicy nie narzekają na admina, to ten źle wykonuje swoją pracę.
Sofcik pisze:
A mądry administrator umie tak skonfigurować stację by nie były potrzebne prawa administratora
Powtórzyłeś dokładnie to co napisałem.