gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Netvisao: IP estaticamente dinâmico
Contribuído por BladeRunner em 05-04-01 14:56
do departamento se-não-queres-o-teu-IP-estático-dá-mo-a-mim-:)
perguntas Trinitá escreve "Olá. Gostaria de saber o que acham sobre isto dos IP's "dinâmicos" e que são alterados de forma aleatória (o meu é o mesmo há mais de um mês). E a minha dúvida é se isso nao torna o computador mais vulnerável aos ataques de pessoas mal intencionadas, porque uma vez que o IP não muda, isso dá-lhes todo o tempo para irem experimentando várias técnicas sem perdas de tempo. Se estiver errado agradeço a ajuda de quem saiba esclarecer. Obrigado. "

[ N. E. : Não geres nenhum servidor, pois não? Senão com esse medo todo, tinhas que tomar calmex :-) Just kidding ]

Novo Site Linux em Portugal | PHP-Nuke 5.0  >

 

gildot Login
Login:

Password:

Referências
  • Mais acerca perguntas
  • Também por BladeRunner
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    302 400 segundos (Pontos:1)
    por BladeRunner em 05-04-01 16:00 GMT (#1)
    (Utilizador Info) http://www.gildot.org
    Viva!

    Cheguei agora a casa e liguei-me também pela Netvisão.
    O dhclient indica-me um IP renewal de 302400 segundos, o que dá 302400 / 3600 = 84 horas = 3 dias e meio.

    Curiosamente, lembro-me vagamente de antes esse tempo serem 1800 segundos (meia-hora).

    BladeRunner
    Re:302 400 segundos (Pontos:2, Informativo)
    por xeon em 05-04-01 19:58 GMT (#9)
    (Utilizador Info) http://pthelp.org
    Viva.

    Nao tenho net-por-cabo (:p) mas suponho que os mecanismos de atribuicao de IP sao DHCP standard.

    Assim, o renewal funciona, grosso modo da seguinte maneira:
          - O PC obtem um IP por dhcp (e um renewal time).
          - Se o pc for desligado por um tempo superior ao renewal time, e' _obrigacao_ do dhcp client pedir novo IP (que pode ser igual ou nao ao anterior... depende da config do dhcp server).

    Agora aqui temos 2 situacoes:
          - PC sempre ligado: o dhcp client, ao chegar 'a half life (metade, portanto) do renewal time, devera' fazer um pedido ao dhcp server a pedir um novo lease do seu IP. Se for concedido, o renewal time e' reiniciado a partir desse momento. Se for negado, pede novo IP (situacao muito rara, esta ultima).
          - Se o pc for desligado e novamente ligado ainda DENTRO do renewal time, fara' o pedido de renew ao IP (como descrito no ponto anterior).

    Segundo as indicacoes que das, o PC podera' estar desligado por quase 2 dias sem perder o seu IP ...

    Obviamente, estou a assumir que ninguem 'flusha' os leases do lado do server (dumb thing to do, mas de Minesweeper Certified and Solitaire Engineers ... ja' espero qualquer coisa .. :-) ) e que o dhcp server E os clients seguem a RFC ...

    --
    "Nao ha' mulheres feias ... um gajo e' que bebe pouco..."
    Xeon
    Re:302 400 segundos (Pontos:2, Informativo)
    por [WaR] em 05-04-01 20:42 GMT (#11)
    (Utilizador Info) http://www.GenHex.org/
    Na netcabo são 1800 segundos.

    Anyway, tenho o mesmo IP há 2 meses. E desligo o computador todas as noites.

    Sempre me poupa o trabalho de ter q inserir o novo ip no nameserver :)

    -- [WaR]
    ACKnowledge my SYNs
    Re:302 400 segundos (Pontos:2)
    por xeon em 06-04-01 12:28 GMT (#15)
    (Utilizador Info) http://pthelp.org
    1800 Segundos !?!?? TOU ?!

    Nao tas enganado, de certeza ?

    Isso quer dizer que, de 900 em 900 segundos, cada PC ligado a essa rede troca trafego com o dhcp server.
    WOW !
    Ninguem por aih quer fazer uma estatistica de trafego tomando em conta o numero de clientes da Netcabo e os dhcp packets ?!
    Era giro ...

    --
    Nao ha' mulheres feias ... um gajo e' que bebe pouco ...
    Re:302 400 segundos (Pontos:1)
    por [WaR] em 06-04-01 14:58 GMT (#16)
    (Utilizador Info) http://www.GenHex.org/
    ...
    LEASETIME=1800
    RENEWALTIME=900
    ...

    nice huh ? :)

    -- [WaR]
    ACKnowledge my SYNs
    IPtables... (Pontos:1)
    por [WaR] em 05-04-01 20:04 GMT (#10)
    (Utilizador Info) http://www.GenHex.org/
    Para quem tem medo... bom remédio:

    iptables -N INSIDE
    iptables -A INSIDE -j ACCEPT
    iptables -A INPUT -i ! eth0 -j INSIDE

    iptables -P INPUT DROP
    iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    works like a charm...

    -- [WaR]
    ACKnowledge my SYNs
    Re:Não há paciência (Pontos:2, Informativo)
    por BladeRunner em 05-04-01 17:12 GMT (#3)
    (Utilizador Info) http://www.gildot.org
    Viva!

    O cerne da questão do trinitá é se o facto de ter o mesmo IP durante muito tempo o torna ou não mais vulnerável do ponto de vista da segurança e não a Netvisão ou a Netcabo.

    Tens alguma a dizer sobre isso de modo a tornar esta discussão mais interessante?
    Pelos vistos não

    ok! Muito rapidamente...
    Em princípio ter-se um IP estático (o que de qualquer modo não deverá ser o caso) claro que aumenta as probabilidades de se ser visitado. Isto é óbvio.
    Se és um utilizador Linux doméstico, começa por aquelas coisas básicas tipo desactivar servidores ftp, telnet, etc. do inetd-conf, desactivar sendmails, apaches e quejandos que muitas vezes as distros instalam sem passar cavaco a ninguém.

    De seguida lê uns HOWTOs sobre a matéria.

    BladeRunner
    Re:Não há paciência (Pontos:1)
    por BladeRunner em 05-04-01 17:16 GMT (#4)
    (Utilizador Info) http://www.gildot.org
    Sorry!

    Era inetd.conf, claro.

    BladeRunner
    Re:Não há paciência (Pontos:0)
    por Anonimo Cobarde em 05-04-01 18:06 GMT (#5)
    Não é óbvio que por se ter um IP fixo ficamos mais vulneráveis? Óbvio que esta questão é bastante primária. Anyway, inetd não é nada aconselhável, xinetd parece-me mais aconselhável para quem não gosta do tcpserver. Apliquem os updates da Redhat, montem umas regras de ipchains e leiam a porcaria da Bugtraq! E filtrem as porras do 137,138,139 udp/tcp! Não há pachorra.
    Re:Não há paciência (Pontos:1)
    por BladeRunner em 05-04-01 18:18 GMT (#6)
    (Utilizador Info) http://www.gildot.org
    "Apliquem os updates da Redhat"

    E claro...
    Há vida para além da Red Hat. Com patches e tudo :P

    BladeRunner
    Re:Não há paciência (Pontos:2)
    por nmarques em 05-04-01 19:22 GMT (#7)
    (Utilizador Info) http://nmarques.xpto.org
    Claro, como até sei que usas SuSE esperas em média mais umas duas semanas pelos updates... ;) Agora voltando ao caramelo a quem respondeste, esse deve ser esperto ;), obviamente só le a bugtraq e espeta com tudo o que é patch em cima... É um Sinhori.

    +---------------------------------------
    Hey, don't blame me... I am from Pluto
    Re:Não há paciência (Pontos:1)
    por BladeRunner em 05-04-01 19:40 GMT (#8)
    (Utilizador Info) http://www.gildot.org
    "Claro, como até sei que usas SuSE esperas em média mais umas duas semanas pelos updates... ;)"

    Por acaso, costumo fazer os updates mais à antiga : com pila

    BladeRunner
    Re:Não há paciência (Pontos:1)
    por bgravato em 05-04-01 23:06 GMT (#12)
    (Utilizador Info)
    Eu uso debian e normalmente não tenho que esperar muito pelos updates... até estou na ml debian-security para saber as coisas sem ter que andar a ler bugtraq's :-)

    Mas não entremos na guerra santa de "a minha distro é melhor que a tua", senão daqui a um bocado já estamos em "o vi é melhor que o emacs" e posteriormente "a minha é maior que a tua" :-P

    Cumprimentos,
    Bruno Gravato.

    Re:Não há paciência (Pontos:0)
    por Anonimo Cobarde em 06-04-01 9:26 GMT (#14)

    Mas não entremos na guerra santa de "a minha distro é melhor que a tua", senão daqui a um bocado já estamos em "o vi é melhor que o emacs" e posteriormente "a minha é maior que a tua" :-P

    Isto vindo de uma pessoa q ate a pouco tempo era RedHat isto, RedHat aquilo...ronhonho...ronhonho...
    Tenta ser mais coerente jovem.


    Re:Não há paciência (Pontos:2)
    por Dehumanizer em 06-04-01 8:40 GMT (#13)
    (Utilizador Info)
    A Netcabo não filtra já essas portas? Sempre que faço um nmap de fora para o meu PC de casa acho que essas aparecem "filtered"...

    Umas pequenas sugestões para aumentar a segurança:

    - não usar Red "versões beta porque somos bons demais para esperar" Hat. Até o Mandrake tem menos buracos.

    - melhor ainda, não usar Linux (no flames, please). OpenBSD rules. :)

    - ainda melhor, desligar o cabo de rede. Uma porta blindada em casa também ajuda. :)

    Sem brincadeiras, sim, uma máquina acessível de fora, com IP estático, pode-se dizer que está mais vulnerável. Mas se formos a pensar assim, não havia servidores, não é? Ou será que não confiamos o suficiente nos SOs que usamos? Bom, se são daqueles de uma certa empresa predatorial e monopolista...

    "How are you gentlemen !!
    All your base are belong to us." - Cats, "Zero Wing"

     

     

    [ Topo | FAQ | Editores | Contacto ]