[MASOCH-L] DHCP em redes distintas

Fernando Ulisses dos Santos fernando at bluesolutions.com.br
Thu Oct 25 12:35:39 BRST 2012 

Alex, sobre a máquina virtual conseguir acessar o hospedeiro é chamado VME, é muito raro e quando acontece os desenvolvedores tem corrigido rápido.

Claro que,  um hypervisor mais enxuto, com menos código (vmware esxi ou citrix xen) tem menos bugs.

Mas separar dhcp em máquinas virtuais por segurança é muito preciosismo, mantenha esse servidor sempre atualizado e com firewall bem configurado que não dá nada.

Fernando Ulisses dos Santos
Enviado pelo meu Android

-----Mensagen Original-----
De: Alex Weyer <alex.weyer at gmail.com>
Para: "Mail Aid and Succor, On-line Comfort and Help" <masoch-l at eng.registro.br>
Enviado: qui, 25 de out de 2012 13:56:57 GMT+00:00
Assunto: Re: [MASOCH-L] DHCP em redes distintas

Interessante Luiz.

Mas nesse caso o servidor ainda não está livre de sofrer com ataques Dos,
certo?

Sobre a segurança (ou a falta de) do switch do hypervisor (como VmWare,
Hyper-V), há algo conhecido? Tipo haver a possibilidade de a partir de uma
máquina virtual, se ter acesso a outra hospedada no mesmo hypervisor?

Alex





Em 25 de outubro de 2012 11:53, Luiz Gustavo <luizgb at gmail.com> escreveu:

> Olá Alex,
>
> Entao DHCP relay parece ser a solução mais viável no seu caso, só que
> precisa ter suporte no seu switch.
> Possuo servidor DHCP com mais de 50 escopos (um para cada vlan) e ele só
> tem uma placa de rede e que não está conectada diretamente a nenhuma das
> redes que ele provê DHCP.
>
> Att.
> Luiz Gustavo
>
> Em 25 de outubro de 2012 11:45, Alex Weyer <alex.weyer at gmail.com>
> escreveu:
>
> > O "medo" de ter a máquina invadida se dá pelo fato de ela estar conectada
> > em três redes distintas, sendo uma delas para visitantes, e as outras
> duas
> > administrativas.
> >
> > Se a partir da visitantes tu conseguir invadir a máquina, facilmente se
> > terá acesso as demais....
> >
> > Alex
> >
> >
> >
> > Em 25 de outubro de 2012 10:53, Rubens Marins Schner <
> > rubens at brisanet.com.br
> > > escreveu:
> >
> > > Eu nao sei que SO voce pensa em usar para isso, mas em linux voce pode
> > > levantar 3 processos de DHCP um em cada interface, cada um usando um
> > > arquivo de configuracao diferente. Super simples.
> > >
> > > Nao entendi o medo que voce tem de essa maquina ser invadida.
> > >
> > >
> > > Rubens Marins
> > > Administrador de Sistemas
> > > rubens.marins at gmail dot com
> > >
> > >
> > > 2012/10/25 Emiliano Martins <emiliano.martins at ik1.com.br>
> > >
> > > > Alex,
> > > >
> > > > Virtualize nessa máquina. Suba 3 servidores virtuais, deixe cada
> > servidor
> > > > usar apenas uma placa de rede e seja feliz.
> > > >
> > > > Abs
> > > >
> > > >
> > > >
> > > > Em 25 de outubro de 2012 10:44, Alex Weyer <alex.weyer at gmail.com>
> > > > escreveu:
> > > >
> > > > > Pessoal
> > > > >
> > > > > Possuo três redes distintas (que não podem de forma alguma terem
> > > > > comunicação entre si), com aproximadamente 500 máquinas em cada, e
> > para
> > > > > cada uma delas preciso de um serviço de DHCP.
> > > > >
> > > > > Como não tenho máquina sobrando com menos de 32GB de Ram, seria um
> > > > > desperdício de hardware disponibilizar três máquinas (uma para cada
> > > rede)
> > > > > com essa configuração, para um serviço tão simples.
> > > > >
> > > > > Pensei no seguinte: 1 servidor físico, com três interfaces de rede
> > (uma
> > > > > para cada rede) e nesse servidor, rodar três servidores virtuais,
> > cada
> > > um
> > > > > com sua interface correspondente e seu DHCP.
> > > > >
> > > > > O problema desse caso seria a segurança: ao invadir uma das
> máquinas,
> > > > > poderia ser feito um "bypass" do vSwitch, acessando as outras
> > máquinas
> > > > sob
> > > > > a mesma hospedeira.
> > > > >
> > > > > Isso é possível?
> > > > >
> > > > > Qual alternativa vocês conhecem/utilizam, de modo que não
> comprometa
> > a
> > > > > segurança?
> > > > >
> > > > > Toda sugestão é bem vinda!
> > > > >
> > > > >
> > > > > --
> > > > > Alex Weyer
> > > > > __
> > > > > masoch-l list
> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Emiliano Martins
> > > > Analista de TI
> > > > *
> > > > *
> > > > *iK1 Tecnologia <http://www.ik1.com.br/> - **Distribuidor Oficial
> > > DrayTek
> > > > *
> > > > Tel: +55.11.4062.3300 *|* +55.11.3258.0633
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> > Alex Weyer
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Alex Weyer
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list