On Thu, 1 Aug 2002, Robert Olejnik wrote: > ByĹo to tak, Thu, Aug 01, 2002 at 09:46:40AM +0200 Mirek Grochowski napisaĹ > do mnie coĹ takiego: > > On Thu, 1 Aug 2002, Bartek MalczyĹski wrote: > > > > > > jesli ktos uwaze sie za "zaawansowanego" to nie powinien miec z tym > > > > problemu. Z tego powodu ja bym zmienil troche konzept. > > > > Nie nalezy blokowac poszczgolnych MAC tylko tym MAC ktore sa znane > > > > zezwolic na wyjscie. > > > > > > No wiec wlasnie od tego jest plik /etc/ethers > > > Wiazesz na stale MAC i IP poczym ustawiasz ktory > > > ma miec dostep, a ktory nie. > > > > > Ale tak naprawde, to zaawansowany uzytkownik chyba i tak nie bedzie mial > > problemu. Wystarczy, ze wlaczy sie do sieci lokalnej z jakimkolwiek IP, > > przypinguje jakakolwiek maszyne w sieci lokalnej (a to przeciez bedzie > > mogl zrobic jesli tylko zna klace adresow, z ktorych kozystasz), sprawdzi > > sobie jej MAC i przypisze swojej karcie. > > No i jak sie przed czyms takim zabezpieczyc? > > Wydaje mi sie, ze odpowiednie poswiczowanie sieci moze byloby wyjsciem, > > ale to jest niestety drogie, ponadto jeslibys mial uzywac takiego > > rozwiazania prawdopodobnie nie pytalbys o blokowanie MACow bo > > wystarczyloby tylko odpowiednio popodpinac userow. > > > wszystko da rady zrobiÄ, ja mam takie rozwiÄ zanie: > > mam sieÄ w ktĂłrej na sztywno powiÄ zane sÄ macaddressy z ipekami, na > routerze zablokowane sÄ ipeki ktĂłre sÄ nieuĹźywane, wiÄc jedynÄ > moĹźliwoĹÄ > aby cokolwiek zrobiÄ, trzeba wybraÄ ipeka z niezablokowanych (a te jak > mĂłwiĹem sÄ powiÄ zane z macami). NastÄpnie chodzi w pamiÄci program, > ktĂłry dokonuje sprawdzeĹ czy wszysko jest w porzÄ dku (ip <=> mac), to > wszystko dodatkowo powiÄ zane jest z bazÄ danych, jakby co mam > powiadomienia na kom i maile z dokĹadnym opisem oraz danymi klientĂłw > (wszystko dodatkowo spakietowane, takĹźe instaluje sobie na routerach bez > problemu...)... > Nooo jesli routera na osobnych interfejsach sa IPki z wyjsciem w swiat (siec A) i te bez wyjsca (siec B) to wszystko OK, nikt z sieci B nie odczyta jakiegokolwiek MACa z sieci A i odwrotnie. Jednak takie cos jest rozwiazaniem bardziej sprzetowym niz programowym. Ale jesli wszystkie IPki podpiete sa do jednej podsieci to koles bez dostepu potrafi odczytac MACa kogos kto ma dostep, wtedy przypisuje sobie jego MACa i jego IP i juz. Tworzy sie wtedy oczywiscie konflikt, bo w sieci pojawiaja sie dwa kompy z takimy samymi MAC/IP, ale mimo to "zaawansowany" user bedzie mogl prawdopodobnie dzialac. Ty pewnie dostaniesz informacje, ze cos jest nie tak, ale zanim dojdziesz kto podmienil IPke minie troche czasu.
pozdro -- mirek
