On Fri, 2 Aug 2002, Bartek Malczyński wrote: > > Podsumowujac: wydaje mi sie, ze jesli administrator nie poistaluje > > odpowiedniego oprogramowania monitorujacego i do tego nie bedzie > > uwaznie czytal logow to nie bedzie w stanie dojsc czy cos jest nie > tak. > > Jesli czyta logi to zobaczy ze cos sie pieprzy, ale nie bedzie w > stanie > > (chyba, ze poszlakowo) dojsc kto zminia sobie MACa. > > Dodatkowo, jesli kolo zmieni sobie MACa i odpyta DHCPa o adres DHCP > > przypisze mu odpowiedni adres IP. > > Jedyna okazja wykrycia intruza pojawi sie w momencie, gdy z sieci > beda > > chcialy kozystac dwie karty o tym samym MACu, a i wtedy jedynie > dowiesz > > sie, ze intruz jest, ale gdze, to juz bedzie problem. > > Wcale nie musi czytać logow uważnie, co więcej nie musi ich czyatć w > ogóle jeśli > podejrzewa, ze ktos sie podszywa pod nie swoje IP. Jesli ma > zainstalowanego > i uruchomionego APRWATCH'a, to ten bedzie mu wysylal maila za kazdym > razem > jak ktos zmieni IP, albo w sieci pojawi sie nowy komp. > A to spoko, nie bylem pewien jak program dziala. Tyle, ze program nie wykryje jesli, ktos bedzie probowal sie podszyc pod jakies IP z odpowiednim MACiem. No i niestety nie pokaze dzie dokladnie jest problem.
-- mirek
