pocitani prenesenejch dat
Dan Lukes
dan at obluda.cz
Fri Aug 24 12:35:48 CEST 2001
azzi at centrum.cz wrote:
> Dobry den..
>
> potreboval bych vyresit tento problem.
>
> V lokalni siti bude jeden PC s modemem a ten se bude pripojovat na pozadavek
> jednotlivejch pocitacu na internet.
>
> Problem vidim ve vyuctovani. Potrebuju nejak zajistit aby se kazdemu pc
> spocitaly prenesene data / hodina-cas . napr.. zbytek uz doresi script kterej
> bude znat tarif I2001
>
> Jak to udelat?
Reseni je spousta, krome jiz zminenych mymi predrecniky, muzete mit v
konfiguraci firewallu "count" rule pro kazdou IP (tolik jich zase
nemate) a ty pravidelne, treba jednou za minutu "olizovat". To uz kdesi
takhle chodi - a na pomerne velke siti.
Dalsi moznost je nechat si delat kopii kazdeho paketu (rule "tee") na
port na kterem sedi vase aplikace a ta si paket analyzuje a spocita (to
je mozna zbytecne tezke kladivo pro vasi situaci). Mam ozkouseno na
velke siti (>400 pocitacu), ze to zvladne i neprilis silna masina.
> Napadlo mne pocitat nejak data na IP adresy ale to je jednoduse podfouknutelny.
> muzu pouzit HW adresy karet.. mate nekdo zkusenosti!
Tento problem nelze na softwarove urovni vyresit uspokojive. Uvedomte si,
ze MAC adresa je jedina identifikace, kterou mate a pokud lze i tu
padelat, nemate nic. Krome toho, ma urovni, na ktere se uz dobre
programuje uz zase neni MAC, pod kterou prisel konkretni paket az tak
jednoduse dostupna (i kdyz, pokud si program napisete nad /dev/bpf pak
tam k paketu dostanete i tuto informaci).
HW reseni je v inteligentnim switchi, kazdy pocitac je ve svem portu a
port je nastaven tak, ze neprijima pakety z jine nez nastavene MAC -
samozrejmy predpoklad je, ze lide v kancelarich nemaji pristup ke "konci
dratu" kolegy, ktery by si mohli po dobu jeho nepritomnosti pichnout k
sobe a samozrejme, nikdo nema fyzicky pristup ke switchi. A samozrejme,
predpokladam, ze vec neni tak jednoducha, ze si proste k pocitaci kolegy
sednu, jeho Windows 9x zmacku ESCAPE na uvodni otazku po jmenu a heslu a
dale vesele pracuji na koleguv ucet. Nebo nabootuju z diskety MS DOS,
nainstaluji packet-driver (to se vsechno na jednu disketu vejde) a pak
pomoci FTP na dostupny lokalni disk stahnu co me napadne (a pak uz si to
k sobe presunu jen lokalne). Proste, chete-li mit jistotu, musi byt
bezpecne nedostupne pouzit koleguv pocitac i jeho konec dratu. A to v
mnohych podnicich rozhodne neplati, takze ani HW reseni neni nic nez jen
zdanlive bezpecne.
SW reseni je zalozeno na faktu, ze uzivatele na svem stroji umeji zmenit
IP, ale neumeji zmenit MAC. Pokud si muzete dovolit takovyhle
predpoklad, pak reseni spociva v tom, ze ARP tabulku routeru naplnite
statickymi zaznamy pro vsechny (i nepouzivane) adresy lokalni site. Pak
je zajisteno alespon to, ze musi byt spravna kombinace IP/MAC, jinak
spojeni nefunguje. Pozor, pokud pouzivate DHCP nebo BOOTP na routeru,
daemoni, v ramci prideleni adresy, provadeji zmeny v ARP a tim staticke
zaznamy obvykle nici (je nutne provest zasah v BOOTPD/DHCPD).
At uz zvolite jakekoliv reseni nezapomente, ze v jednu chvili muze
pracovat vice lidi, takze jeden poplatek bude potreba rozuctovavat ma
vice PC (a ted jak - podilem podle poctu lidi ? podilem podle objemu dat
? kombinaci obojiho ? jak zohlednit, ze zacal sice jeden - a tim
"vyzral" drazsi cast na pocatku spojeni a pak se pridali dalsi, kdy uz
je hovor lacinejsi ?) - to uz ale nejsou problemy technicke ...
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list