| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | Viva!
Cheguei agora a casa e liguei-me também pela Netvisão.
O dhclient indica-me um IP renewal de 302400 segundos, o que dá 302400 / 3600 = 84 horas = 3 dias e meio.
Curiosamente, lembro-me vagamente de antes esse tempo serem 1800 segundos (meia-hora).
BladeRunner
|
| |
| |
| | Viva.
Nao tenho net-por-cabo (:p) mas suponho que os mecanismos de atribuicao de IP sao DHCP standard.
Assim, o renewal funciona, grosso modo da seguinte maneira:
- O PC obtem um IP por dhcp (e um renewal time).
- Se o pc for desligado por um tempo superior ao renewal time, e' _obrigacao_ do dhcp client pedir novo IP (que pode ser igual ou nao ao anterior... depende da config do dhcp server).
Agora aqui temos 2 situacoes:
- PC sempre ligado: o dhcp client, ao chegar 'a half life (metade, portanto) do renewal time, devera' fazer um pedido ao dhcp server a pedir um novo lease do seu IP. Se for concedido, o renewal time e' reiniciado a partir desse momento. Se for negado, pede novo IP (situacao muito rara, esta ultima).
- Se o pc for desligado e novamente ligado ainda DENTRO do renewal time, fara' o pedido de renew ao IP (como descrito no ponto anterior).
Segundo as indicacoes que das, o PC podera' estar desligado por quase 2 dias sem perder o seu IP ...
Obviamente, estou a assumir que ninguem 'flusha' os leases do lado do server (dumb thing to do, mas de Minesweeper Certified and Solitaire Engineers ... ja' espero qualquer coisa .. :-) ) e que o dhcp server E os clients seguem a RFC ...
--
"Nao ha' mulheres feias ... um gajo e' que bebe pouco..."
Xeon
|
| |
| | Na netcabo são 1800 segundos.
Anyway, tenho o mesmo IP há 2 meses. E desligo o computador todas as noites.
Sempre me poupa o trabalho de ter q inserir o novo ip no nameserver :)
-- [WaR]
ACKnowledge my SYNs
|
| |
| | 1800 Segundos !?!?? TOU ?!
Nao tas enganado, de certeza ?
Isso quer dizer que, de 900 em 900 segundos, cada PC ligado a essa rede troca trafego com o dhcp server.
WOW !
Ninguem por aih quer fazer uma estatistica de trafego tomando em conta o numero de clientes da Netcabo e os dhcp packets ?!
Era giro ...
--
Nao ha' mulheres feias ... um gajo e' que bebe pouco ...
|
| |
| | ...
LEASETIME=1800
RENEWALTIME=900
...
nice huh ? :)
-- [WaR]
ACKnowledge my SYNs
|
| |
| | Para quem tem medo... bom remédio:
iptables -N INSIDE
iptables -A INSIDE -j ACCEPT
iptables -A INPUT -i ! eth0 -j INSIDE
iptables -P INPUT DROP
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
works like a charm...
-- [WaR]
ACKnowledge my SYNs
|
| |
| | Viva!
O cerne da questão do trinitá é se o facto de ter o mesmo IP durante muito tempo o torna ou não mais vulnerável do ponto de vista da segurança e não a Netvisão ou a Netcabo.
Tens alguma a dizer sobre isso de modo a tornar esta discussão mais interessante?
Pelos vistos não
ok! Muito rapidamente...
Em princípio ter-se um IP estático (o que de qualquer modo não deverá ser o caso) claro que aumenta as probabilidades de se ser visitado. Isto é óbvio.
Se és um utilizador Linux doméstico, começa por aquelas coisas básicas tipo desactivar servidores ftp, telnet, etc. do inetd-conf, desactivar sendmails, apaches e quejandos que muitas vezes as distros instalam sem passar cavaco a ninguém.
De seguida lê uns HOWTOs sobre a matéria.
BladeRunner
|
| |
| |
| | Sorry!
Era inetd.conf, claro.
BladeRunner
|
| |
| por Anonimo Cobarde em 05-04-01 18:06 GMT (#5)
|
| Não é óbvio que por se ter um IP fixo ficamos mais vulneráveis? Óbvio que esta questão é bastante primária. Anyway, inetd não é nada aconselhável, xinetd parece-me mais aconselhável para quem não gosta do tcpserver. Apliquem os updates da Redhat, montem umas regras de ipchains e leiam a porcaria da Bugtraq! E filtrem as porras do 137,138,139 udp/tcp! Não há pachorra.
|
| |
| | "Apliquem os updates da Redhat"
E claro...
Há vida para além da Red Hat. Com patches e tudo :P
BladeRunner
|
| |
| | Claro, como até sei que usas SuSE esperas em média mais umas duas semanas pelos updates... ;) Agora voltando ao caramelo a quem respondeste, esse deve ser esperto ;), obviamente só le a bugtraq e espeta com tudo o que é patch em cima... É um Sinhori.
+---------------------------------------
Hey, don't blame me... I am from Pluto
|
| |
| | "Claro, como até sei que usas SuSE esperas em média mais umas duas semanas pelos updates... ;)"
Por acaso, costumo fazer os updates mais à antiga : com pila
BladeRunner
|
| |
| | Eu uso debian e normalmente não tenho que esperar muito pelos updates... até estou na ml debian-security para saber as coisas sem ter que andar a ler bugtraq's :-)
Mas não entremos na guerra santa de "a minha distro é melhor que a tua", senão daqui a um bocado já estamos em "o vi é melhor que o emacs" e posteriormente "a minha é maior que a tua" :-P
Cumprimentos,
Bruno Gravato.
|
| |
| por Anonimo Cobarde em 06-04-01 9:26 GMT (#14)
|
| | Mas não entremos na guerra santa de "a minha distro é melhor que a tua", senão daqui a um bocado já estamos em "o vi é melhor que o emacs" e posteriormente "a minha é maior que a tua" :-P Isto vindo de uma pessoa q ate a pouco tempo era RedHat isto, RedHat aquilo...ronhonho...ronhonho...
Tenta ser mais coerente jovem.
|
| |
| | A Netcabo não filtra já essas portas? Sempre que faço um nmap de fora para o meu PC de casa acho que essas aparecem "filtered"...
Umas pequenas sugestões para aumentar a segurança:
- não usar Red "versões beta porque somos bons demais para esperar" Hat. Até o Mandrake tem menos buracos.
- melhor ainda, não usar Linux (no flames, please). OpenBSD rules. :)
- ainda melhor, desligar o cabo de rede. Uma porta blindada em casa também ajuda. :)
Sem brincadeiras, sim, uma máquina acessível de fora, com IP estático, pode-se dizer que está mais vulnerável. Mas se formos a pensar assim, não havia servidores, não é? Ou será que não confiamos o suficiente nos SOs que usamos? Bom, se são daqueles de uma certa empresa predatorial e monopolista...
"How are you gentlemen !!
All your base are belong to us." - Cats, "Zero Wing" |
| |
