Re: Gestione indirizzi ip del Dhcpd

[GiancFir]

Se arrivi al punto di non avere più indirizzi liberi la cosa migliore da
fare è aumentare il pool o usare più reti( o cambiare classe).


alla fine è quello che farò, comunque, visto che

>Il dhcpserver non "ascolta" la rete (qualsiasi cosa significhi 
>"acoltare") ma prima di rilasciare un lease controlla che in rete non 
>ci sia già un dispositivo acceso che risponde a quell'indirizzo.


abbasso il lease, il mio timore era che il dhcpd rilasciasse ip ancora usati


--
”Questo è Unix. Ti dà abbastanza corda per impiccarti da solo.”
Miquel van Smoorenburg
“Unix E’ user friendly. . . E’ solo selettivo su chi può essergli amico.”
Tollef Fog Heen

wake on lan

[Pol Hallen]

'sera a tutti :-)

solo una piccola considerazione sul wol: ho notato che usando o 
etherwake o wakeonlan, ogni tanto (e chissà perchè) non fanno il loro 
dovere... a volte funzionano correttamente altre volte no, ma non solo: 
il discorso cambia in base a quanti apparati hw ci sono in mezzo a loro :-/


non esiste un sistema "infallibile" (senza cambiare hw ovviamente) che 
mi permetta di accendere le macchine in remoto senza perdere ore e ore 
di test?


grazie!


Pol

Re: [MASSMAIL]KVM - Backup VM

[dea]

Ciao

Normale, non sempre Windows, specie le versioni "server" accettanno lo
spegnimento via ACPI.
Tantomeno lo accettano se non sei loggato e similare (non puoi spegnere la
macchina senza login).

Ci sono delle modifiche da fare nel registro.. per esempio questo per 2012:


shutdown guest from web gui

In order to be able to shutdown a windows server 2012 guest from console or
with backup schedule, some changes have to be done in the registry.

launch "regedit.exe" and set value of HKLM\Software\Microsoft\Windows
NT\CurrentVersion\winlogon and change "ShutdownWithoutLogon" to 1
go to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\PowerSettings\7516b95f-f776-4464-8c53-06167f40cc99\8EC4B3A5-6868-48c2-BE75-4F3044BE88A7
and set "Attributes" value to 2
then go to "Control Panel" --> "System and Security" --> "Power Options"
and then --> "Change plan settings" on choosed power plan --> "Change Advanced
Power Settings" --> "Display" and set 'Console lock display off timeout' to 0
to disable it 

hotspot freeradius

[Piviul]

Ciao a tutti, vorrei mettere in piedi una rete wireless con
autenticazione WPA2 Enterprise su un server freeradius in modo che ogni
utente possa fornire le sue credenziali di accesso alla rete per
connettere sia cellulari che PC windows/linux alla rete. Al di la delle
difficoltà che sicuramente incontrerò nel configurare gli utenti (mi
piacerebbe autenticarli tramite winbind) mi sono già bloccato nel capire
quale protocollo di autenticazione dovrei scegliere/configurare.

Se vado su client windows non mi sembra di avere la possibilità di
sceglierlo: si può scegliere soltanto come criptare la password (AES o
TKIP) quindi quale protocollo userà?

Se vado su client linux ce n'è una marea: TLS, LEAP, PWD, FAST, Tunneled
TLS, Protected EAP... ma sono sigle che mi dicono poco... nella
documentazione si parla di PAP, CHAP, MSCHAP... a quali corrispondono
fra quelle selezionabili?

Infine sui cellulari (almeno sul mio Cyanogenmod) vedo soltanto PEAP e
LEAP... ma non li trovo sul server freeradius.

Poi su debian freeradius mi sembra vecchio (anche su testing  siamo
ancora alla versione 2 mentre sul sito siamo già alla versione 3) e non
vorrei compilarlo a manina... esiste un repository di riferimento con
freeradius compilato per debian?

Come vedete sono molto confuso e ogni suggerimento è ben accetto.

Grazie

Piviul

KVM - Backup VM

[Paolo]

Ciao a tutti,
mi capita di usare KVM per virtualizzare delle macchine, e per gestirne 
il backup generalmente tramite script spengo la VM


virsh --connect qemu:///system shutdown VM

faccio un snapshot del disco, riaccendo la macchina, e poi faccio il 
backup dello snapshot.


Con VM Debian mai avuto un problema, sto facendo delle prove con VM 
windows (2012) e noto che non sempre il comando per lo spegnimento va a 
buon fine... capita che la VM non si spenga, soprattutto se è accesa da 
qualche gg... Mentre se è appena stata accesa e lancio il backup tutto 
funziona a meraviglia...


Qaulche suggeriemnto?

Grazie mille,

--
P.

Tanto vale farlo, che vivere nel terrore dell'attesa.
Logen il sanguinario

Re: Gestione indirizzi ip del Dhcpd

[Gollum1]

Il 08 febbraio 2016 22:36:51 CET, Davide Prina  ha 
scritto:
>On 08/02/2016 21:26, Mattia wrote:
>
>> [1] https://it.wikipedia.org/wiki/ARP_poisoning
>> [2] https://en.wikipedia.org/wiki/Rogue_DHCP
>> [3] https://en.wikipedia.org/wiki/DHCP_snooping
>
>più leggo e più capisco che questo argomento è vasto e complesso.
>Io volevo capire se potevo far qualcosa per proteggere maggiormente una
>
>rete "casalinga"... ma per farlo serve un esperto... o leggersi per
>bene 
>un bel po' di tomi sull'argomento :-(
>
>grazie a tutti
>
>Ciao
>Davide

Per proteggere la tua rete domestica potresti usare gli indirizzi statici sulle 
tue macchine, in una certa classe, disabilitando il dhcp interno, quindi all'AP 
interno, possono connettersi solo macchine "certificate" (magari con uso del 
filtro sui mac Andreas e ssid nascosto) poi metti un AP esterno, in una classe 
diversa con GW il tuo router principale che lasci solo per gli ospiti. In 
questo modo hai la tua rete privata, e una rete pubblica per gli altri, che si 
toccano solo in uscita... è un inizio di sicurezza, la wifi non potrà mai 
essere completamente sicura.
Byez
-- 
Gollum1

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori di battitura (maledetto correttore ortografico).

Re: Gestione indirizzi ip del Dhcpd

[Scrap]

Scusa Antonio per l arisposta privata(maledetto client che non risponde 
alla lista :))


Il 2016-02-08 15:01 Antonio Draven De Santis ha scritto:

Però ripensando a "ascolta la rete" :) se il dhcp server è una
macchina linux, e il tuo unico problema è il range pieno, si potrebbe
creare uno script da far girare in cron ogni tot che fa un ip scan del
range dhcp e quelli che non trova attivi li pulisce nel lease


Essendo una macchina linux puoi anche fare uno script che ti faccia 
partire la caffettiera, questo non vuol dire che sia utile.


Secondo me uno script di questo tipo è superfluo dato che il server dhcp 
si gestisce tutto da solo senza creare il minimo problema. Oltre tutto 
non dimenticare che fare lo scand di rete vuol dire aggiungere carico 
alla rete.


Se arrivi al punto di non avere più indirizzi liberi la cosa migliore da 
fare è aumentare il pool o usare più reti( o cambiare classe).

Re: Gestione indirizzi ip del Dhcpd

[Antonio Draven De Santis]

Il 08/02/2016 15:51, GiancFir ha scritto:
Grazie a tutti per le risposte, il mio obbiettivo era quello di 
ottimizzare l'uso del dhcp su wifi nella mia scuola dove si collegano 
docenti, ospiti ed alcune classi di allievi.
Credo comunque di dover abbandonare l'idea di usare una sola classe c 
e di passare o a una classe b o suddividere il tutto in più classi c, 
una per i docenti, una per gli ospiti etc, implementando + interfacce 
sul server linux.





Però ripensando a "ascolta la rete" :) se il dhcp server è una 
macchina linux, e il tuo unico problema è il range pieno, si potrebbe 
creare uno script da far girare in cron ogni tot che fa un ip scan del 
range dhcp e quelli che non trova attivi li pulisce nel lease


--
==
LINUX USER #587355
==

Problemi con GRUB

[Temax]

Salve a tutti.
Purtroppo dopo un aggiornamento automatico il pc non si avvia più.
All'accensione, dopo WELCOME TO GRUB, mi appare una schermata di avvisi 
che si concludono con:


/bin/sh: can't access tty; job control turned off
(initramfs)

Su questo pc all'inizio c'era installato  su una partizione anche 
windows xp, ma poi l'avevo cancellato lasciando unicamente Debian/Wheezy.


Avrei bisogno di qualche istruzione elementare adatta a un neofita per 
uscire da questa situazione.


Grazie e ciao

Re: Gestione indirizzi ip del Dhcpd

[GiancFir]

Grazie a tutti per le risposte, il mio obbiettivo era quello di 
ottimizzare l'uso del dhcp su wifi nella mia scuola dove si collegano 
docenti, ospiti ed alcune classi di allievi.
Credo comunque di dover abbandonare l'idea di usare una sola classe c e 
di passare o a una classe b o suddividere il tutto in più classi c, una 
per i docenti, una per gli ospiti etc, implementando + interfacce sul 
server linux.





--
”Questo è Unix. Ti dà abbastanza corda per impiccarti da solo.”
Miquel van Smoorenburg
“Unix E’ user friendly. . . E’ solo selettivo su chi può essergli amico.”
Tollef Fog Heen

Re: Problemi con GRUB

[Felipe]

In data lunedì 8 febbraio 2016 15:14:54, Temax ha scritto:
> Salve a tutti.
> Purtroppo dopo un aggiornamento automatico il pc non si avvia più.

Utilizzi UEFI o BIOS?

> All'accensione, dopo WELCOME TO GRUB, mi appare una schermata di avvisi 
> che si concludono con:
> 
> /bin/sh: can't access tty; job control turned off
> (initramfs)

Re: Gestione indirizzi ip del Dhcpd

[Davide Prina]

On 08/02/2016 21:26, Mattia wrote:


[1] https://it.wikipedia.org/wiki/ARP_poisoning
[2] https://en.wikipedia.org/wiki/Rogue_DHCP
[3] https://en.wikipedia.org/wiki/DHCP_snooping


più leggo e più capisco che questo argomento è vasto e complesso.
Io volevo capire se potevo far qualcosa per proteggere maggiormente una 
rete "casalinga"... ma per farlo serve un esperto... o leggersi per bene 
un bel po' di tomi sull'argomento :-(


grazie a tutti

Ciao
Davide


--
Dizionari: http://linguistico.sourceforge.net/wiki
Motivi per non comprare/usare ms-windows-vista:
http://badvista.fsf.org/
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Gestione indirizzi ip del Dhcpd

[Mattia]

Il 8 febbraio 2016 20:52, Davide Prina ha scritto:
> In pratica mi sembra che un malintenzionato possa, una volta che abbia
> ottenuto un indirizzo IP di una rete o se ne è forzato uno lui stesso,
> compiere azioni non lecite all'interno della rete, probabilmente
arrivando a
> sostituirsi al dhcp stesso e fare da gateway per tutto il traffico degli
> indirizzi IP che assegna lui e quindi riuscire a catturare tutto il
> traffico.

In realtà se ti colleghi ad una rete locale e ottieni l'indirizzo del
gateway dal DHCP ti basta "impersonare" direttamente il gateway tramite un
arp spoofing [1] per catturare il traffico di uno o più client.

> Quindi, probabilmente, per poter avere una rete sicura occorre
implementare
> delle misure di controllo per individuare, nell'esempio sopra, un dhcp
> improvvisato da un utente e sbatterlo fuori. Regole che non penso siano di
> default

Quello di cui parli è un Rogue DHCP [2] e lo puoi mitigare con un controllo
a livello di switch [3]

> Purtroppo sono curioso e la mia domanda era semplice per cercare di capire
> una cosa che mi sembrava non chiara. Dove volevo arrivare era: un utente
può
> arrivare con un singolo PC (senza macchine virtuali) ad occupare in
qualche
> modo più o tutti gli indirizzi IP della rete?

Certamente sì

Ciao
Mattia

[1] https://it.wikipedia.org/wiki/ARP_poisoning
[2] https://en.wikipedia.org/wiki/Rogue_DHCP
[3] https://en.wikipedia.org/wiki/DHCP_snooping

Re: Gestione indirizzi ip del Dhcpd

[Gollum1]

Il 08 febbraio 2016 17:54:49 CET, GiancFir  ha scritto:
>
>
>abbasso il lease, il mio timore era che il dhcpd rilasciasse ip ancora
>usati

Non lo fa, solitamente, già a metà del release time, il client manda una 
richiesta di rinnovo, non ricordo quante volte viene ripetuta la cosa, ma mi 
pare di ricordare che c'è un meccanismo per obbligare comunque ad un certo 
momento il rilascio dell'indirizzo ip.

Maledizione, devo decidermi a riprendere in mano i manuali Cisco, se voglio 
dare questi maledetto esami di certificazione...

-- 
Gollum1

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori di battitura (maledetto correttore ortografico).

Re: Gestione indirizzi ip del Dhcpd

[Davide Prina]

On 08/02/2016 21:08, Vincenzo Villa wrote:

Il giorno lun, 08/02/2016 alle 20.52 +0100, Davide Prina ha scritto:


Dove volevo arrivare era: un
utente può arrivare con un singolo PC (senza macchine virtuali) ad
occupare in qualche modo più o tutti gli indirizzi IP della rete?


Se root: si. Basta installare per esempio dhcpstarv o yersinia (o simili
per altri OS).

Per questo ti serve avere un sacco di IP e implementare sugli switch
qualche opera di  mitigazione (in gergo Cisco: port security)


ho capito fino a sì :-)
Poi ho chiesto aiuto al mio amico apt-cache :-) per capire qualcosa di 
più...


Ma oltre a yersinia, che se non ho capito male serve a trovare problemi 
su una rete, esiste qualcosa che si può installare per eliminare o 
mitigare i vari tipi di rischio?


Probabilmente i tipi di attacco sono talmente tanti che è difficile 
avere una soluzione unica e generica.


Penso che il problema, come in altri casi, sia l'infrastruttura creata 
per funzionare senza preoccuparsi della sicurezza... un po' come è 
sempre stato fatto all'inizio dell'informatica.


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Motivi per non comprare/usare ms-windows7:
http://windows7sins.org/
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Problemi con GRUB

[Davide Prina]

On 08/02/2016 15:14, Temax wrote:


Purtroppo dopo un aggiornamento automatico il pc non si avvia più.



/bin/sh: can't access tty; job control turned off
(initramfs)


non è che durante l'upgrade ti è uscito un messaggio del tipo: grub non 
è in grado di rilevare la partizione su cui è installato GNU/Linux, se 
non si è sicuri è sicuro selezionarle tutte.


A questo punto tu non hai selezionato nulla o non hai selezionato quella 
corretta.


Se è così è "semplice" risolverlo.
Ti indico quello che facevo io molto tempo fa... è un pezzo che non uso 
più questa procedura...


Grub ti permette di avviare qualsiasi sistema operativo usando la sua 
interfaccia. Guarda che quando appare grub ti indica un tasto da premere 
(ora non ricordo, forse F1?) per accedere al prompt dei comandi grub.


Purtroppo avrai la tastiera americana (almeno così era tempo fa).
Puoi usare il tasto tab:  per il completamento automatico e hai a 
disposizione il comando help per aiuti sui comandi.


Bisogna cercare dove è installato il kernel, ma prima bisogna trovare il 
disco.


Nota2 tieni presente che hd0 indica il primo disco e hd0,0 indica primo 
disco prima partizione primaria (le partizioni estese partono da 5 anche 
se non ne hai 4 primarie)


caso 1: primo disco (hd0) e seconda partizione (,2)
grub > kernel (hd0,2)/vmli
premi tab e ti dovrebbe completare il nome, se ti riporta un elenco di 
nomi scegliene uno completando a mano la scritta


caso 2:
grub> kernel (hd0,2)/boot/vmli
premi tab e ti dovrebbe completare il nome, se ti riporta un elenco di 
nomi scegliene uno completando a mano la scritta


in pratica devi trovare vmlinuz
fai un po' di prove con (hd0,0), (hd0,1), ... fino a quando lo trovi
Appena l'hai trovato e sei riuscito a scrivere il comando kernel, allora 
puoi avviare il tuo sistema :-)


premi invio

grub> boot


Quello che hai fatto è avviarlo una volta, ma le impostazioni non sono 
salvate... se funziona poi bisogna installare grub nel posto "giusto" o 
in tutti i posti possibili :-)



Su questo pc all'inizio c'era installato  su una partizione anche
windows xp, ma poi l'avevo cancellato lasciando unicamente Debian/Wheezy.


sempre che non hai cancellato la partizione sbagliata.

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: Gestione indirizzi ip del Dhcpd

[Vincenzo Villa]

Il giorno lun, 08/02/2016 alle 20.52 +0100, Davide Prina ha scritto:

> Dove volevo arrivare era: un 
> utente può arrivare con un singolo PC (senza macchine virtuali) ad 
> occupare in qualche modo più o tutti gli indirizzi IP della rete?

Se root: si. Basta installare per esempio dhcpstarv o yersinia (o simili
per altri OS).

Per questo ti serve avere un sacco di IP e implementare sugli switch
qualche opera di  mitigazione (in gergo Cisco: port security)

-- 
Vincenzo Villa
http://www.vincenzov.net

Re: Gestione indirizzi ip del Dhcpd

[Davide Prina]

On 07/02/2016 12:27, GiancFir wrote:


Il 06 febbraio 2016 20:58:49 CET, Davide Prina ha scritto:



ma se io mi connetto al sistema, ottengo un IP dinamico dal DHCP,
subito
dopo mi sconnetto e mi ripresento con un IP fisso (senza passare dal
DHCP).



se ho capito bene il dhcp non 'ascolta' chi c'è in rete e di conseguenza
si basa solo su i dati che ha lui e cioè il lease time.


infatti, mi sembra che il dhcp sia un servizio veramente semplice, di 
base, che funziona senza problemi se gli utenti sono "onesti".


In pratica mi sembra che un malintenzionato possa, una volta che abbia 
ottenuto un indirizzo IP di una rete o se ne è forzato uno lui stesso, 
compiere azioni non lecite all'interno della rete, probabilmente 
arrivando a sostituirsi al dhcp stesso e fare da gateway per tutto il 
traffico degli indirizzi IP che assegna lui e quindi riuscire a 
catturare tutto il traffico.


Quindi, probabilmente, per poter avere una rete sicura occorre 
implementare delle misure di controllo per individuare, nell'esempio 
sopra, un dhcp improvvisato da un utente e sbatterlo fuori. Regole che 
non penso siano di default.


Purtroppo sono curioso e la mia domanda era semplice per cercare di 
capire una cosa che mi sembrava non chiara. Dove volevo arrivare era: un 
utente può arrivare con un singolo PC (senza macchine virtuali) ad 
occupare in qualche modo più o tutti gli indirizzi IP della rete?


Non che io voglia fare nulla del genere... ma conoscere ti permette di 
capire e proteggerti quando fai qualcosa nel tuo piccolo (es: gestire un 
dhcp in una piccola rete domestica).


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Motivi per non comprare/usare ms-windows-vista:
http://badvista.fsf.org/
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: wake on lan

[Gollum1]

Il 08 febbraio 2016 17:48:32 CET, Pol Hallen  ha 
scritto:
>'sera a tutti :-)
>
>solo una piccola considerazione sul wol: ho notato che usando o 
>etherwake o wakeonlan, ogni tanto (e chissà perchè) non fanno il loro 
>dovere... a volte funzionano correttamente altre volte no, ma non solo:
>
>il discorso cambia in base a quanti apparati hw ci sono in mezzo a loro
>:-/
>
>non esiste un sistema "infallibile" (senza cambiare hw ovviamente) che 
>mi permetta di accendere le macchine in remoto senza perdere ore e ore 
>di test?
>
>grazie!
>
>
>Pol

Di default il wol non dovrebbe passare da una rete all'altra, è un protocollo 
che non viene ruotato, quindi se hai dei router in mezzo, niente wol (in realtà 
chi sono dei work around per bypassare la cosa, ma non so quanto ne valga la 
pena).

Quindi sì, molto dipende da quello che c'è in mezzo.
-- 
Gollum1

Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità e gli 
errori di battitura (maledetto correttore ortografico).

Re: Gestione indirizzi ip del Dhcpd

[Vincenzo Villa]

Il giorno lun, 08/02/2016 alle 15.51 +0100, GiancFir ha scritto:

> ottimizzare l'uso del dhcp su wifi nella mia scuola dove si collegano 
> docenti, ospiti ed alcune classi di allievi.

Anche io gestisco una cosa del genere. L'errore "storico" è stato usare
indirizzi di classe C (192.168.1.0/24), al punto che ora ne sto usando 4
contigue (192.168.0.0/22), sfiorando a volte il migliaio di utenze
"contemporanee" (il problema che le altre reti di classe C sono state
nel frattempo allocate per altre cose...). 

Lease time a 3 minuti e non ci sono problemi

Ma se parti ora: 172.16.0.0/16 e vivi felice!

-- 
Vincenzo Villa
IISS Alessandro Greppi
Monticello Brianza - Lecco
http://www.issgreppi.gov.it

Re: Gestione indirizzi ip del Dhcpd

[fran...@modula.net]

Il 08/02/2016 20:52, Davide Prina ha scritto:

On 07/02/2016 12:27, GiancFir wrote:


Il 06 febbraio 2016 20:58:49 CET, Davide Prina ha scritto:



ma se io mi connetto al sistema, ottengo un IP dinamico dal DHCP,
subito
dopo mi sconnetto e mi ripresento con un IP fisso (senza passare dal
DHCP).



se ho capito bene il dhcp non 'ascolta' chi c'è in rete e di conseguenza
si basa solo su i dati che ha lui e cioè il lease time.
Il dhcp non ascolta, però interroga e adegua il suo comportamento alla 
risposta che riceve; se un ip è già attivo, non lo usa.


infatti, mi sembra che il dhcp sia un servizio veramente semplice, di
base, che funziona senza problemi se gli utenti sono "onesti".

In pratica mi sembra che un malintenzionato possa, una volta che abbia
ottenuto un indirizzo IP di una rete o se ne è forzato uno lui stesso,
compiere azioni non lecite all'interno della rete, probabilmente
arrivando a sostituirsi al dhcp stesso e fare da gateway per tutto il
traffico degli indirizzi IP che assegna lui e quindi riuscire a
catturare tutto il traffico.


Due server dhcp nella stessa rete creano problemi che difficilmente 
passano inosservati, a meno che uno dei due non sia così lento da 
rispondere sempre per secondo.
Tieni conto che il server dhcp di solito effettua anche le registrazioni 
dinamiche dei nomi sul dns: cosa che non potrebbe fare un fake dhcp 
server (se il server dns è ben fatto, naturalmente).



Quindi, probabilmente, per poter avere una rete sicura occorre
implementare delle misure di controllo per individuare, nell'esempio
sopra, un dhcp improvvisato da un utente e sbatterlo fuori. Regole che
non penso siano di default.


Se i due server dhcp sono nello stesso bridge, per estrometterne uno o 
hai uno switch gestito o lo stacchi fisicamente dalla rete.




Purtroppo sono curioso e la mia domanda era semplice per cercare di
capire una cosa che mi sembrava non chiara. Dove volevo arrivare era: un
utente può arrivare con un singolo PC (senza macchine virtuali) ad
occupare in qualche modo più o tutti gli indirizzi IP della rete?



Cioè vorresti sapere se è possibile sferrare attacchi DoS tramite 
protocollo Dhcp?



Non che io voglia fare nulla del genere... ma conoscere ti permette di
capire e proteggerti quando fai qualcosa nel tuo piccolo (es: gestire un
dhcp in una piccola rete domestica).





Ciao
Davide


Luciano

Re: Gestione indirizzi ip del Dhcpd

[Giovanni Bellonio]

Il 08/02/2016 20:52, Davide Prina ha scritto:

infatti, mi sembra che il dhcp sia un servizio veramente semplice, di
base, che funziona senza problemi se gli utenti sono "onesti".

In pratica mi sembra che un malintenzionato possa, una volta che abbia
ottenuto un indirizzo IP di una rete o se ne è forzato uno lui stesso,
compiere azioni non lecite all'interno della rete, probabilmente
arrivando a sostituirsi al dhcp stesso e fare da gateway per tutto il
traffico degli indirizzi IP che assegna lui e quindi riuscire a
catturare tutto il traffico.

Quindi, probabilmente, per poter avere una rete sicura occorre
implementare delle misure di controllo per individuare, nell'esempio
sopra, un dhcp improvvisato da un utente e sbatterlo fuori. Regole che
non penso siano di default.

Purtroppo sono curioso e la mia domanda era semplice per cercare di
capire una cosa che mi sembrava non chiara. Dove volevo arrivare era: un
utente può arrivare con un singolo PC (senza macchine virtuali) ad
occupare in qualche modo più o tutti gli indirizzi IP della rete?

Non che io voglia fare nulla del genere... ma conoscere ti permette di
capire e proteggerti quando fai qualcosa nel tuo piccolo (es: gestire un
dhcp in una piccola rete domestica).

Ciao
Davide



Non vorrei dire una castroneria, ma il dhcp entra in gioco solo dopo che 
sia stata effettuata l'autenticazione (almeno per la parte mobile), per 
cui se una rete è robusta (in termini di sicurezza) non dovrebbero 
esserci i rischi da te prospettati e nel caso si dovesse verificare il 
problema del dhcp improvvisato sarebbe il minore dei miei problemi.


Inoltre non penso che qualcuno possa permettere ad uno "sconosciuto" di 
potersi connettere con un cavo alla propria lan.


Gianni


--



Giovanni Bellonio