• Как сделать свой DHCP-сервер единственным?

    @JDima
    владелец почувствует некий дискомфорт в гениталиях, например когда его телефон не сможет подключиться к роутеру

    Почему? Аутентификация пройдет в любом случае. После этого владелец роутера окажется в общем L2 сегменте, где есть два DHCP сервера — роутера и правильный. У роутера пул переполнен, следовательно, он не пришлет offer — в отличие от правильного.
    Более того — если человек воткнул сеть в LAN порт роутера, то роутер выдаст ему настройки, с которыми его сеть работать не сможет. Т.е. в случае атаки как раз все заработает.
    значит скрипт должен работать постоянно

    Например, раз в 5 секунд discover. Как только пришел offer — меняем интервал на 100мс, пока левые офферы снова не пропадут, что с дефолтной для многих маской /24 произойдет через полминуты. Шанс, что кто-то из других пользователей сегмента захочет в этот промежуток обновить адрес, очень мизерный. Это не защитит от целенаправленной атаки, но выведет обычные DHCP сервера из строя, а заодно намекнет владельцу такого, что лучше так больше не делать.
    Intercepter-NG

    Использовать в качестве основного DHCP сервера? Жестокий вариант :)
  • Как сделать свой DHCP-сервер единственным?

    @JDima
    Да, перепутал с другой фичей.
    When a server that lost its bindings receives a DHCPREQUEST packet from a client, it responds with a DHCPACK message (and stores the client-ID-to-IP-address binding in its database) if the client’s IP address belongs to the correct subnet and is not already used by some other client. In other cases, the server does not respond to the request unless it’s configured to be authoritative. An authoritative ISC DHCP server rejects all mismatched DHCPREQUEST messages with a DHCPNAK response, causing the client to enter the INIT state immediately.

    Отзываясь на offer, клиент будет юникастить. Соответственно, наличие опции authoritive не помешает клиенту получить неправильный адрес от неправильного сервера. В тех случаях, когда request идет броадкастом — фича заново запустит рулетку.
  • Как сделать свой DHCP-сервер единственным?

    @JDima
    Вдобавок — от наивных пользователей, которые подняли у себя роль DHCP на виндовом сервере. Другим видам DHCP серверов немного начхать на авторизированность.
  • Как сделать свой DHCP-сервер единственным?

    @JDima
    Еще идея посетила. Можно атаковать левые DHCP сервера. Допустим, некий скрипт непрерывно шлет DHCP Discover с разных маков, но отзывается только на те Offer, которые идут от неправильного сервера. Это быстро переполнит базы левых серверов, и они перестанут мешаться клиентам.
  • Как сделать свой DHCP-сервер единственным?

    @JDima
    Это не поможет при борьбе со спуфингом.
  • Juniper или Cisco?

    @JDima
    оборудование Cisco ввозится в Россию без поддержки шифрования. Поэтому можно не задумываться о IPSec+DMVPN, 3DES и т.п.

    Мы получаем железки с K9, с благословения ФСБ. Причем даже ГОСТом шифроваться не обязаны.
    Вам в филиал может подойдти что-то из этого:

    Мне говорите?
    Что-то я сомневаюсь, что подойдет :)
    1) Поддержка цискиного SRST.
    2) Возможность воткнуть поток Е1. Не везде есть SIP.
    3) Поддержка цискиного EIGRP (надеюсь, нет возражений, что для топологии multihub&spoke ничего лучше не придумали?)
    4) Поддержка цискиного DMVPN (7200-е с VSA менять не собираемся)
    5) Поддержка DMVPN phase 3 (филиалов много сотен)

    Juniper SRX, более универсальная железка чем ISR или ASA

    Любопытства ради — чем же они функциональнее ISRов?
    Вроде умеют кластеризоваться. Еще?
  • Juniper или Cisco?

    @JDima
    Если производительности 800-х хватит — да, IPSec лучше поднимать на роутерах, ибо там возможны более красивые его реализации. Ключевой момент именно ширина каналов.
    Я — сторонник того, чтобы сразу заложить красивую архитектуру. Скажем, сейчас у вас 5 филиалов, преимущества DMVPN не так очевидны. Через год будет 50, и вот тут уже классический IPSec начнет вызывать некоторую ненависть.
  • Juniper или Cisco?

    @JDima
    Вы правильно сказали — малофункционально.

    Но его никто никогда не объявлял core свитчем. Кто взял под ядро — сам дурак. А для routed access железка превосходна.
    Автору именно routed access и нужен. Даже без динамики. Честно говоря, в этом случае 3560-й — перебор, можно остановится на каком-нибудь бюджетном HPшном хламе — у них было что-то из L3 свитчей, способное иметь 16 статических маршрутов, но модели не помню.
    на 29хх настройка у меня не вызвала никаких проблем, в отличие от 3560, какую-то непонятную маршрутизацию с которых пришлось убирать.

    А это уже вопрос знания элементарнейшей матчасти ;)
    На любых L3 свитчах DGW объявляется «ip default-gateway X.X.X.X» при отсутствии команды «ip routing» либо «ip route 0.0.0.0 0.0.0.0 X.X.X.X» при наличии.
    Но дальше — больше. Вы убрали «ip routing» и превратили L3 свитч в L2 свитч. Так нахрена вообще задействовать под это дело 3560-й?
  • Juniper или Cisco?

    @JDima
    по отзывам моих знающих коллег — на 3560 роутинг грустненький был

    А именно?
    По-моему, с роутингом там все как раз хорошо. Правда, не слишком функционально. Сабинтерфейсов нет, MPLS нет и еще по мелочи. Тем не менее, под большинство задач она подойдет.
    на моей текущей работе с 3560 пришлось немного повозиться, пока понял, что ей нужен маршрут по умолчанию, для того чтобы она могла достукиваться куда угодно из менеджмент влана.

    Тут можно сказать «RTFM». Ну и здравый смысл как бы :)
    Правда, закономерный вопрос: на кой черт брать L3 роутер и не поднимать на нем человеческую маршрутизацию?
    в отличие от 29xx коммутаторов

    Что значит «в отличие»? 29-е — только L2. И им тем более надо выдавать дефолтный маршрут.
  • Juniper или Cisco?

    @JDima
    Зачем 3DES, когда AES быстрее при сравнимой или более высокой надежности?
    И нет, роутеры по схожей цене — это 880-е и 890-е. Смотря какой ширины каналы.

    И еще вспомнил: habrahabr.ru/post/144218/#comment_4948691
  • Juniper или Cisco?

    @JDima
    Хотели изначально ставить маршрутизаторы, но поняли, что ставить ASA или SRX логичнее.

    Ни разу не логичнее.
    1) ASA/SRX поддерживают лишь классическую реализацию IPSec VPN, донельзя убогую. IOS роутеры умеют DMVPN и GETVPN (ну мало ли). Netscreen железки умеют AC VPN, похожий на DMVPN. Что это такое? Это — динамическая маршрутизация поверх IPSec любым удобным протоколом, автоматическое создание прямых динамических туннелей между филиалами без малейших настроек по мере надобности (то есть трафик между филиалами минует центр), легкое подключение новых филиалов без настроек даже на хабах, продвинутый QoS (хаб будет знать от спока, какая у него ширина канала, и в соответствии с этим настраивать очереди) и много чего другого.
    2) Голос. Цискины роутеры при наличии цискиной голосовой инфраструктуры могут много чего интересного, включая транскодирование, проигрывание MOH, перерегистрацию на себя местных телефонов при падении всех каналов (с сохранением номеров и примерных прав дозвона, предоставляя выход в город через себя по любым транспортам от ISDN и FXO до SIP). Ну а даже без CUCM инфраструктуры они являются неплохими IP PBX с фичами вплоть до IVR.
    В общем, у роутеров масса преимуществ.

    И кстати, ASA 5505 и SRX-100 стоят одинаково. SRX быстрее в базовой маршрутизации (ну кому нужно 700мб/с в мелком филиале?), а ASA — в шифровании IPSec. Хотя возможности обоих с лихвой перекрывают запросы любого мелкого филиала.
  • Juniper или Cisco?

    @JDima
    Статическая маршрутизация — это ужасно. Циска делает DMVPN, исключительно простое и удобное решение на базе IPSec, фактически являющееся multipoint GRE с обвязкой в виде NHRP и позволяющее среди прочего гонять поверх себя динамику. Статические маршруты не требуются. У Juniper есть что-то похожее.
    И так ли нужны именно L3 свитчи в филиалы? Ради интереса расскажите, почему решили именно так. Ведь L2 дешевле.
  • Пропажа данных и проблемы с сетью в Windows Server 2008 R2

    @JDima
    Как вариант — HD Sentinel. Разумеется, SMART нужен для отдельных винтов, как и тест поверхности. Не знаю, какой контроллер используется в вашем случае, но указанная программа прекрасно видит отдельные винты на интеловском чипсетном рейде. И в очень наглядном виде показывает их здоровье.
  • Пропажа данных и проблемы с сетью в Windows Server 2008 R2

    @JDima
    Ну и, конечно, проверка поверхности дисков, а также анализ SMART. На серверного класса железе при малейшем глюке винта контроллер помечает его как неисправный, а вот десктопный будет цепляться за жизнь до последнего. RAID1 не панацея.
  • Доменный пользователь заблокирован, скинул пароли локального админа, нужно узнать локальный домен или рабочую группу

    @JDima
    Не зная имени ПК мы не сможем войти под локальным пользователем.

    По RDP нельзя. Локально — можно (ну или по крайней мере это работало, когда последний раз проверял). Просто набрать «administrator» к примеру. Зона поиска подставится автоматически — локальная.
  • Какие программы существуют для отслеживания траффика в сети?

    @JDima
    «Неуправляемый свитч» — это свитч, который не знает слов «VLAN», «STP» и так далее и не обладает никакими средствами защиты от атак на L2, но все равно запоминает маки и передает пакеты в соответствии с ними. «Хаб» — это хаб, безмозглая коробка, которую уже почти нигде не встретишь.
  • Как сохранить акумулятор?

    @JDima
    Речь про подключение к розетке 24/7. Это хуже, чем периодическая зарядка.
  • Как сохранить акумулятор?

    @JDima
    У меня на одном из ноутбуков батарея умерла (ни секунды не держала) за полгода непрерывного подключения к розетке. Правда, это было много лет назад.
  • Как сохранить акумулятор?

    @JDima
    У леновы стандартный. На самсунговском нетбуке была похожая настройка. Вы весь штатный софт ставили?
  • Как перехватить текствый траффик скайпа на роутере?

    @JDima
    протокол 4й версии через реверс инженеринг вроде как вскрыли

    Ага. Вскрыли. На самом деле просто узнали, чем шифруется (ранее не знали). Ни о какой дешифровке и речи не было.
    Ваша идея обречена на полный провал, если только нет знакомых в ФСБ. Ищите другие подходы к задаче.