Re: mac ...

[Mirek Grochowski]

On 1 Aug 2002, Robert Rakowicz wrote:

> Mirek Grochowski <[EMAIL PROTECTED]> writes:
>
> Czesc,
>
> > On Thu, 1 Aug 2002, Bartek Malczy-Bński wrote:-A
> >
> > > > jesli ktos uwaze sie za "zaawansowanego" to nie powinien miec z tym
> > > > problemu. Z tego powodu ja bym zmienil troche konzept.
> > > > Nie nalezy blokowac poszczgolnych MAC tylko tym MAC ktore sa znane
> > > > zezwolic na wyjscie.
> > >
> > > No wiec wlasnie od tego jest plik /etc/ethers
> > > Wiazesz na stale MAC i IP poczym ustawiasz ktory
> > > ma miec dostep, a ktory nie.
> > >
> > Ale tak naprawde, to zaawansowany uzytkownik chyba i tak nie bedzie mial
> > problemu. Wystarczy, ze wlaczy sie do sieci lokalnej z jakimkolwiek IP,
> > przypinguje jakakolwiek maszyne w sieci lokalnej (a to przeciez bedzie
> > mogl zrobic jesli tylko zna klace adresow, z ktorych kozystasz), sprawdzi
> > sobie jej MAC i przypisze swojej karcie.
> > No i jak sie przed czyms takim zabezpieczyc?
>
> i co mu z tego ? Dopoki moj komputer jest wlaczony to nie uda mu sie
> taka sztuczka tzn. bedzie mogl ustawic sobie IP i MAC ale nie zdobedzie
> zadnej komunikacji.
>
No wlasnie, poki jest wlaczony.
Ponadto i tego nie bylbym pewien na 100%.
Pare lat temu bawilem sie w akademinu w zminianie sobie IP (MACu nie
ruszalem). Efekt byl taki, ze jak ja zminilem sobie IP na takie jakie
przypisane mial kumpel to wyjscia na swiat nie uzyskiwalem, ale on
tracil polaczenie. Nie wiem jak byloby dgyby zminic zarowno MAC jak i IP,
podejrzewam, ze linux moglby zwalczyc winde. Nie wiem tez jak takie
cos zachowaloby sie na poswiczowanej sieci. Niestety nie moge teraz
sprawdzic bo na mojej maszynie kumpel intensywnie robi prace kozystajac z
sieci (pozdro dla lukasza).

Podsumowujac: wydaje mi sie, ze jesli administrator nie poistaluje
odpowiedniego oprogramowania monitorujacego i do tego nie bedzie
uwaznie czytal logow to nie bedzie w stanie dojsc czy cos jest nie tak.
Jesli czyta logi to zobaczy ze cos sie pieprzy, ale nie bedzie w stanie
(chyba, ze poszlakowo) dojsc kto zminia sobie MACa.
Dodatkowo, jesli kolo zmieni sobie MACa i odpyta DHCPa o adres DHCP
przypisze mu odpowiedni adres IP.
Jedyna okazja wykrycia intruza pojawi sie w momencie, gdy z sieci beda
chcialy kozystac dwie karty o tym samym MACu, a i wtedy jedynie dowiesz
sie, ze intruz jest, ale gdze, to juz bedzie problem.

Dodam jeszcze, ze wszystko to sa rozwazania teoretyczne czesciowo poparte
praktyka.

Ostatecznie stwierdzam, ze jedynym,gwarantujacym pewnosc, rozwiazaniem
jest metoda sprzetowa. No mozna oczywscie pozbyc sie zaawansowanych
uzytkownikow :-)))
Ludzi z dostepem podpiac do jednego interfejsu, a bez dostapu do innego.

bezpiecznych transferow
-- 
mirek