abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    39C3 (Chaos Communication Congress)
    26.12. 18:44 | Komunita

    Od soboty do úterý probíhá v Hamburku konference 39C3 (Chaos Communication Congress) věnovaná také počítačové bezpečnosti nebo hardwaru. Program (jiná verze) slibuje řadu zajímavých přednášek. Streamy a záznamy budou k dispozici na media.ccc.de.

    Ladislav Hagara | Komentářů: 0
    Phoenix (Xserver)
    26.12. 13:22 | Zajímavý software

    Byl představen nový Xserver Phoenix, kompletně od nuly vyvíjený v programovacím jazyce Zig. Projekt Phoenix si klade za cíl být moderní alternativou k X.Org serveru.

    🇨🇽 | Komentářů: 7
    XLibre Xserver 25.1.0
    26.12. 13:11 | Nová verze

    XLibre Xserver byl 21. prosince vydán ve verzi 25.1.0, 'winter solstice release'. Od založení tohoto forku X.Org serveru se jedná o vůbec první novou minor verzi (inkrementovalo se to druhé číslo v číselném kódu verze).

    🇨🇽 | Komentářů: 0
    Wayback 0.3
    26.12. 03:33 | Nová verze

    Wayback byl vydán ve verzi 0.3. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    Ruby 4.0.0
    25.12. 14:44 | Nová verze

    Byla vydána verze 4.0.0 programovacího jazyka Ruby (Wikipedie). S Ruby Box a ZJIT. Ruby lze vyzkoušet na webové stránce TryRuby. U příležitosti 30. narozenin, první veřejná verze Ruby 0.95 byla oznámena 21. prosince 1995, proběhl redesign webových stránek.

    Ladislav Hagara | Komentářů: 0
    Krásné Vánoce
    24.12. 02:11 | Komunita

    Všem čtenářkám a čtenářům AbcLinuxu krásné Vánoce.

    Ladislav Hagara | Komentářů: 30
    Parrot OS 7.0
    24.12. 02:00 | Nová verze

    Byla vydána nová verze 7.0 linuxové distribuce Parrot OS (Wikipedie). S kódovým názvem Echo. Jedná se o linuxovou distribuci založenou na Debianu a zaměřenou na penetrační testování, digitální forenzní analýzu, reverzní inženýrství, hacking, anonymitu nebo kryptografii. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    postmarketOS 25.12
    23.12. 18:33 | Nová verze

    Vývojáři postmarketOS vydali verzi 25.12 tohoto před osmi lety představeného operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky. Přehled novinek v příspěvku na blogu. Na výběr jsou 4 uživatelská rozhraní: GNOME Shell on Mobile, KDE Plasma Mobile, Phosh a Sxmo.

    Ladislav Hagara | Komentářů: 0
    mpv 0.41.0
    23.12. 13:55 | Nová verze

    Byla vydána nová verze 0.41.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 6.1 nebo novější a také libplacebo 6.338.2 nebo novější.

    Ladislav Hagara | Komentářů: 0
    Lua 5.5
    23.12. 12:44 | Nová verze

    Byla vydána nová verze 5.5 (novinky) skriptovacího jazyka Lua (Wikipedie). Po pěti a půl letech od vydání verze 5.4.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kdo vám letos nadělí dárek?
     (36%)
     (1%)
     (18%)
     (1%)
     (1%)
     (1%)
     (13%)
     (12%)
     (16%)
    Celkem 146 hlasů
     Komentářů: 18, poslední 24.12. 15:29
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / static IP
    Štítky: siet

    Dotaz: static IP

    13.11.2018 08:56 Michals
    static IP
    Přečteno: 707×
    Zdravim,

    mam siet z viacerymi subnets. Existuje nejaky sposob, ako zamedzit, aby sa user so statickou IP nedostal mimo subnet? Na existujucu topologiu sa fixovat nechcem, nakolko to nechcem lepit, radsej urobit novu konfiguraciu, ktora bude optimalna

    Dakujem
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    13.11.2018 09:31 Chulda | skóre: 20
    Rozbalit Rozbalit vše Re: static IP
    buď to přitlouct hřebíky ke stolu nebo použít statickou IP na DHCP a nikoli na počítači.
    13.11.2018 10:32 Michals
    Rozbalit Rozbalit vše Re: static IP
    Dobry den,

    asi tejto hantyrke nerozumiem, alebo som nezadal spravne otazku. Mam v sieti dhcp, ktory mi priradzuje IP adresy na zaklade MAC. Problem je, ze ak si niekto zada IP adresu natvrdo, tak do to pusti do siete, co je OK. Ale ja chcem, aby ho to nepustalo mimo subnet. Viem, ze taketo veci riesi AD, ale chcel by som sa vyhnut AD
    13.11.2018 11:05 Chulda | skóre: 20
    Rozbalit Rozbalit vše Re: static IP
    V linuxu to řeší AD?? Jste si jist, že jste na správném serveru?

    Bráníte se před čím vlastně? "Aktivním" zaměstnancem, jeho zařízením nebo před neoprávněným přístupem do sítě (obvykle útočníkem)?

    Dokud tam budete mít router jako IP GW, tak se kdokoliv se správnou IP dostane kamkoliv. Pokud tomu chcete zamezit, pak potřebujete např. VPN. Nebo proxy s autentizací, pokud klientům stačí jen web přístup.
    13.11.2018 11:26 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: static IP

    Řešit se to dá i obecně, ale je s tím samozřejmě práce a chce to něco si nastudovat. Možnosti jsou např. 802.1x, macsec (802.1ae), IPsec, …

    V praxi se to čast "řeší" tím, že se admin spolehne, že uživatelé si sice umějí změnit IP adresu, ale už ne MAC adresu, a prostě kontroluje, jestli IP adresa odpovídá MAC adrese.

    vencour avatar 13.11.2018 14:42 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: static IP
    Jj, použít nějaké ověřování. Kdo se neověří, nekomunikuje a nefunguje.
    Plus jelikož jste nenapsal, čeho chcete dosáhnout, zpravidla se i omezuje lokální funkčnost = uživatel nemá roota a má jen omezený výěr aplikací plus třeba schránku jen 128 bytů, když už ji má povolenou.
    Aneb samotná statická adresa je vám na prd.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    randy avatar 13.11.2018 23:53 randy | skóre: 21 | Hviezdoslavov
    Rozbalit Rozbalit vše Re: static IP
    Cisco to vola IP Source Guard, HP/Aruba to vola IP Source Lockdown a nutna poziadavka je DHCP snooping, ktore mimo ineho vytvara DHCP "binding" na prepinaci. Potom jedine ak existuje ta vazba (cize ak zariadenie dostane adresu z DHCP servera), tak zariadenie dokaze komunikovat. Easy. Ale byt na mieste spravcu, tak by som najskor rozsegmentoval siet - mat niekolko "subnetov" v ramci jednej VLAN je hnus.
    R>
    Jendа avatar 14.11.2018 15:47 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: static IP
    Viem, ze taketo veci riesi AD
    Cože? Jak?

    Pokud by šlo o situaci, kdy uživatel nemá roota/admina, tak mu můžeš dát pravidlo do firewallu (to bych čekal že dělá „AD“ pokud tohle opravdu „řeší AD“). Ale vzhledem k tomu, že píšeš, že si může ručně měnit IP adresu, tak nejspíš roota má - a pak ti žádná konfigurace na cílovém počítači nepomůže. A jak napsali jiní, tohle se řeší VLANy.
    13.11.2018 11:25 SpaceExplo | skóre: 15
    Rozbalit Rozbalit vše Re: static IP
    Mimo vlastni subnet se "normalne" dostanete pouze pres router - takze firewall pravidla na routeru by isolaci subnetu mela byt schopna vyresit.
    13.11.2018 15:03 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: static IP
    Ale prd. Mimo vlastny subnet sa dostanem tak, ze si proste nastavim ip z toho ineho subnetu. Riesenie je vlan a spomenute overovanie na switchi.
    vencour avatar 13.11.2018 19:04 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: static IP
    Jasně, že se dostane do jiného subnetu tak, že si nastaví jinou VLAN na switchi. Třeba.
    Právě proto se nějaká sekurita nasazuje, proti takovym vykukům.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    13.11.2018 20:27 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: static IP
    Hm? Ako si nastavis VLAN-u na switchi?
    vencour avatar 13.11.2018 22:43 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: static IP
    Když mam na něj přístup tak v pohodě.
    A jsme zase u fyzické bezpečnosti ...
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    14.11.2018 07:46 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: static IP
    Ale predpoklad je, ze nemas. Inac sa potom ani nema zmysel bavit o bezpecnosti.
    14.11.2018 08:08 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: static IP
    To je ovšem jen váš předpoklad - a jeden z mnoha "nezajímavých" detailů, o kterých se tazatel neobtěžoval zmínit. Stejně jako např. o tom, jestli vůbec má switch s podporou VLAN.
    randy avatar 14.11.2018 08:11 randy | skóre: 21 | Hviezdoslavov
    Rozbalit Rozbalit vše Re: static IP
    Ak je na druhej strane Cisco a spravca je debil, tak pouzijem DTP (default enabled) a uz si mozem lozit kam len chcem :)
    R>
    13.11.2018 15:04 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: static IP
    Ale OP vobec netusi, co riesi, takze je to dopredu prehraty boj :)
    13.11.2018 18:16 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: static IP
    Tiež mám ten pocit že riešením tohoto problému je outsourcing.
    15.11.2018 10:07 David Indra | skóre: 15 | Prostějov
    Rozbalit Rozbalit vše Re: static IP
    Muze mi alespon jeden z vas vysvetlit duvod techto komentaru? Ano, tazatel nevi jak na to, proto se zeptal. Proc by se jinak ptal, kdyby to vedel?

    Pomoci pokusu se to nauci a priste se uz nezepta. Kdyz mu smysluplne odpovite, uceni mu urychlite.
    15.11.2018 12:51 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: static IP
    Pokiaľ o otázke ktorú položil nič nevie, tak je outsourcing skutočne najrýchlejšie a najlacnejšie riešenie. A ak sa o tom nechce ani nič naučiť, tak je to dokonca najvýhodnejšie riešenie.

    A ak chce o tom niečo naučiť niekoho iného ale seba nie, tak to outsourcoval na dobrovoľníkov ktorí mu to radi urobia v rámci ich voľného času. A zdarma.
    14.11.2018 17:50 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: static IP
    Existuje nejaky sposob, ako zamedzit, aby sa user so statickou IP nedostal mimo subnet?

    Neexistuje. To je jako ptát se, jestli filtr MAC adres na nešifrované WiFi zabrání cizím lidem připojit se. Nezabrání. Postup je až tupě triviální:

    1. Zjistit, jaké dynamické IP adresy na subnetu jsou (nebo nedávno byly), například poslechem provozu nebo (pokud jde o nevhodný a zastaralý IPv4 z roku 1975) prostou hrubou silou.
    2. Nastavit jednu z těch adres sám sobě jako statickou. Hotovo. Vymalováno.

    Totéž je u toho nešifrovaného WiFi, mimochodem. Stačí chvíli poslouchat provoz, zjistit si MAC adresu jedné z povolených WiFi karet a tím je problém vyřešen.

    Pokud má být na ethernetu jakási autentifikace, je potřeba zavést skutečnou autentifikaci, tedy 802.1x. Tu zajistí (překvapivě také na ethernetu) hostapd na serveru a wpa_supplicant na klientovi.

    To^^^ je ale jen polovičaté řešení, které na rozdíl od WiFi nemá šifrování, což s sebou nese spoustu různých více či méně zajímavých důsledků. (Podle toho, co je cílem, zda jde například o síť s veřejnými ethernetovými zásuvkami a potenciálně nedůvěryhodnými zařízeními atd.)

    Aby to mělo šifrování, je potřeba ethernetový ekvivalent WPA, zvaný MACsec. Nedávno byl MACsec integrovaný do standardních utilit jako wpa_supplicant.

    Takže asi tak. Opravdová kontrola přístupu vyžaduje technologie k tomu určené; jakékoliv polovičaté řešení je celkem snadno překonatelné. Pokud se jedná o zcela novou konfiguraci, je dobré na autentifikaci a (případně) šifrování myslet hned od začátku.

    randy avatar 15.11.2018 15:23 randy | skóre: 21 | Hviezdoslavov
    Rozbalit Rozbalit vše Re: static IP
    Na normalnych sietovych prvkoch sa da zamedzit pouzivaniu statickych adries pouzivatelmi spominanym "IP Source Guard" (Cisco), pripadne sa da aplikovat "Port based ACL" (na L2 port), co sa bezne pouziva pri 802.1x. Samozrejme hociaky SOHO prepinac z Tesca take moznosti nema, ale moznosti su :) WLAN je samozrejme iny svet a ten sa velmi neda porovnavat s LAN.
    R>
    15.11.2018 10:36 Michals
    Rozbalit Rozbalit vše Re: static IP
    Zdravim,

    ospravedlnujem sa, doteraz som len pasivne sledoval tuto debatu, nakolko som chcel vediet, ci sa to niekam posunie alebo nie. Skusim rozvinut moju otazku. Nie, toto nie je ani skolky projekt ani nic podobneho. Je to len ciste moja zvedavost/rozsirovanie obzorov. Snazim sa mojmu 15 rocnemu synovi nieco ukazat, preto som mu urobil virtualnu siet (cez ESXi som mu spravil servere a pocitace), kde rozbehavame zakladne sluzby ako firewall, DNS, DHCP... Viem, stacilo by vyklikat ClearOS alebo nieco podobne a fungovalo by to, ale ja chcem aby aj pochopil, ako veci funguju. Pri nastaveni routovania medzi subnets ma napadlo, ako zamedzit tomu, ze uzivatel si da IP z ineho subnet-u, prip. ako zistit, ze v subnete je niekto, kto tam nema co robit....

    Servere mam postavene na debian (takze AD bol offtopics, ja viem..., ale viem, ze v praci, ak si nastavim, static IP, dokonca aj tu istu ako mi dal DHCP, tak ma domain controller nepusti nikam, proste DHCP enabled je nutnost). Co sa tyka "uzivatelov", ti su windows a admin pravami

    Ako som povedal, cela siet je virtualna, to znamena, sluzby na urovni router-u mu asi neukazem.

    DAkujem.
    vencour avatar 15.11.2018 10:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: static IP
    Vlastně celé IT je o tom, že spojujete kostky k sobě, vedle sebe i na sebe. Komunikace pak probíhá horizontálně i vertikálně. A stavy komunikace se pak mění i ve více směrech, rovinách. Pokud to tak chcete a zapnete to.
    V práci máte nějaké centrální ověřování. Switch pozná, kdo se mu hlásí a něco mu dovolí. Kdybyste měl v AD definovanou "statickou adresu", tak byste s ní taky komunikoval. Respektive kdybyste třeba byl ve VLAN, kde jsou povolené statické adresy.
    Takže fajn, ukazujte a ptejte se, když zas na něco narazíte.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    15.11.2018 10:53 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: static IP
    Pri nastaveni routovania medzi subnets ma napadlo, ako zamedzit tomu, ze uzivatel si da IP z ineho subnet-u,

    To sice technicky může, ale i kdyby pakety od něj nezahodil hned ten router, stejně nedostane žádné odpovědi, protože ty budou routovány do té části sítě, kam ta adresa patří.

    ako zistit, ze v subnete je niekto, kto tam nema co robit

    K tomu by bylo potřeba nejdřív definovat, co přesně znamená "nemá tam co dělat".

    15.11.2018 14:37 Michals
    Rozbalit Rozbalit vše Re: static IP
    Teraz mam na DHCP zoznam MAC adries. Ak je v zozname, dostane ip z nejakého subnet napr. 10.10.10.x, ak nie dostane iný subnet. Napr. 10.20.20.x

    Užívateľ mimo zoznamu si nastaví ip 10.10.10.50. Ja by som chcel, aby si ti qateway všimla, a dropne všetky pakety od/do tejto ip

    Ja viem, MAC sa dá zmeniť, ale to možno v ďalšom kroku budem riešiť. Prip. Ako sa toto riesieva?
    15.11.2018 14:40 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: static IP
    Odpověď už tu máte. Pokud vycházíte z předpokladu, že "podvodník" si umí změnit IP adresu, ale ne MAC adresu, můžete to kontrolovat třeba netfilterem. Pokud tomu chcete opravdu zabránit, bude to složitější - a možnosti tu opět už padly.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.