Re: 1 nic - 2 alhálózat -2 DHCP szerver - Vlan nélkül

Mon, 18 Apr 2016 02:23:20 -0700 

On 2016-04-18 10:08, Horváth Péter wrote:


De nem megy, mert a kliens gép ARP táblájában minden dinamikus GW IP
címhez a mikrotik router mac addresse jelenik meg.



kiveve, ha a kliens gepen static ARP bejegyzest allitokk be, az en 
altalam kivalasztott gateway IP cimevel egyutt.



Fogalmam sincs mi az amit a peldaban szeretnel erzekeltetni, ha 
hozzaferes-korlatozast, akkor ez csapnivalo megoldasa a feladatnak.



Vagyis a mikrotik meg tudja akadályozni hogy a kliensgépek más
gateway-on keresztül érjék el az internetet...



nem tudja megakadalyozni, a kliens dontese, hogy az arp bejegyzest 
figyelembe veszi-e vagy sem.



Erről semmit nem találtam a mikrotik dokumentációban. A hackerek
világában ezt "arp poisoning" -nek hívják, de hogy hívják az RFC-ben?




Az RFC-ben is szerepel ilyen kifejezes, csak mas kontextusban.  A fenti 
- nevezzuk roppant finoman balgasagnak - dolgot tapasztalt ember nem 
alkalmazza, mert hamis biztonsagerzetet ad a halozatot felugyelonek.  A 
helyes megoldas, amennyiben tobb gateway van, mellette dhcp, es a 
kliensedet ra akarod kenyszeriteni az autentikaciora akkor is, ha nem 
teged hasznal:


- 802.1x hasznalata a vezetekes halozaton


egy arva keretet sem tud kuldeni a halozatba, amig nem azonositja magat 
a vegpont


- DHCP snooping + dynamic arp inspection


hiaba allit be a kliens maganak statikusan egy IP cimet, amig a switch 
nem latja, hogy az adott IP cimet DHCP-n keresztul kapta, addig a 
statikus IP nem tud forgalmazni - tovabba a nem legitim dhcp 
szerverektol erkezo valaszokat a switchek eldobjak



Az valid, hogy a mikrotiknak vannak erdekes funkcioi es olcso, de 
konkretan az altalad vazolt esetben tobbet art, mint hasznal (a halozat 
uzemeltetetojenek megcsak fogalma sem lesz rola, hogyan kerulik meg 
masok a 'vedelmet').  Kabe ahhoz tudnam hasonlitani, mikor valaki 
(asszem szinten mikrotikkal) a feszbukot es az uzenetkuldest akarta 
tiltani, aztan csodalkozott, hogy nem megy - bele sem gondolva a https 
kapcsolatokba es a mikrotik lelki vilagaba.


udv
adam
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/






















					válasz