On Thu, 1 Aug 2002, Robert Olejnik wrote: > Było to tak, Thu, Aug 01, 2002 at 09:46:40AM +0200 Mirek Grochowski napisał > do mnie coś takiego: > > On Thu, 1 Aug 2002, Bartek Malczyński wrote: > > > > > > jesli ktos uwaze sie za "zaawansowanego" to nie powinien miec z tym > > > > problemu. Z tego powodu ja bym zmienil troche konzept. > > > > Nie nalezy blokowac poszczgolnych MAC tylko tym MAC ktore sa znane > > > > zezwolic na wyjscie. > > > > > > No wiec wlasnie od tego jest plik /etc/ethers > > > Wiazesz na stale MAC i IP poczym ustawiasz ktory > > > ma miec dostep, a ktory nie. > > > > > Ale tak naprawde, to zaawansowany uzytkownik chyba i tak nie bedzie mial > > problemu. Wystarczy, ze wlaczy sie do sieci lokalnej z jakimkolwiek IP, > > przypinguje jakakolwiek maszyne w sieci lokalnej (a to przeciez bedzie > > mogl zrobic jesli tylko zna klace adresow, z ktorych kozystasz), sprawdzi > > sobie jej MAC i przypisze swojej karcie. > > No i jak sie przed czyms takim zabezpieczyc? > > Wydaje mi sie, ze odpowiednie poswiczowanie sieci moze byloby wyjsciem, > > ale to jest niestety drogie, ponadto jeslibys mial uzywac takiego > > rozwiazania prawdopodobnie nie pytalbys o blokowanie MACow bo > > wystarczyloby tylko odpowiednio popodpinac userow. > > > wszystko da rady zrobić, ja mam takie rozwiązanie: > > mam sieć w której na sztywno powiązane są macaddressy z ipekami, na > routerze zablokowane są ipeki które są nieużywane, więc jedyną > możliwość > aby cokolwiek zrobić, trzeba wybrać ipeka z niezablokowanych (a te jak > mówiłem są powiązane z macami). Następnie chodzi w pamięci program, > który dokonuje sprawdzeń czy wszysko jest w porządku (ip <=> mac), to > wszystko dodatkowo powiązane jest z bazą danych, jakby co mam > powiadomienia na kom i maile z dokładnym opisem oraz danymi klientów > (wszystko dodatkowo spakietowane, także instaluje sobie na routerach bez > problemu...)... > Nooo jesli routera na osobnych interfejsach sa IPki z wyjsciem w swiat (siec A) i te bez wyjsca (siec B) to wszystko OK, nikt z sieci B nie odczyta jakiegokolwiek MACa z sieci A i odwrotnie. Jednak takie cos jest rozwiazaniem bardziej sprzetowym niz programowym. Ale jesli wszystkie IPki podpiete sa do jednej podsieci to koles bez dostepu potrafi odczytac MACa kogos kto ma dostep, wtedy przypisuje sobie jego MACa i jego IP i juz. Tworzy sie wtedy oczywiscie konflikt, bo w sieci pojawiaja sie dwa kompy z takimy samymi MAC/IP, ale mimo to "zaawansowany" user bedzie mogl prawdopodobnie dzialac. Ty pewnie dostaniesz informacje, ze cos jest nie tak, ale zanim dojdziesz kto podmienil IPke minie troche czasu.
pozdro -- mirek
