pocitani prenesenejch dat

Dan Lukes dan at obluda.cz
Fri Aug 24 12:35:48 CEST 2001


azzi at centrum.cz wrote:
> Dobry den.. 
> 
> potreboval bych vyresit tento problem.
> 
> V lokalni siti bude jeden PC s modemem a ten se bude pripojovat na pozadavek
> jednotlivejch pocitacu na internet.
> 
> Problem vidim ve vyuctovani. Potrebuju nejak zajistit aby se kazdemu pc
> spocitaly prenesene data / hodina-cas . napr.. zbytek uz doresi script kterej
> bude znat tarif I2001
> 
> Jak to udelat?


	Reseni je spousta, krome jiz zminenych mymi predrecniky, muzete mit v 
konfiguraci firewallu "count" rule pro kazdou IP (tolik jich zase 
nemate) a ty pravidelne, treba jednou za minutu "olizovat". To uz kdesi 
takhle chodi - a na pomerne velke siti.

	Dalsi moznost je nechat si delat kopii kazdeho paketu (rule "tee") na 
port na kterem sedi vase aplikace a ta si paket analyzuje a spocita (to 
je mozna zbytecne tezke kladivo pro vasi situaci). Mam ozkouseno na 
velke siti (>400 pocitacu), ze to zvladne i neprilis silna masina.


> Napadlo mne pocitat nejak data na IP adresy ale to je jednoduse podfouknutelny.
> muzu pouzit HW adresy karet.. mate nekdo zkusenosti!

	Tento problem nelze na softwarove urovni vyresit uspokojive. Uvedomte si, 
ze MAC adresa je jedina identifikace, kterou mate a pokud lze i tu 
padelat, nemate nic. Krome toho, ma urovni, na ktere se uz dobre 
programuje uz zase neni MAC, pod kterou prisel konkretni paket az tak 
jednoduse dostupna (i kdyz, pokud si program napisete nad /dev/bpf pak 
tam k paketu dostanete i tuto informaci).

	HW reseni je v inteligentnim switchi, kazdy pocitac je ve svem portu a 
port je nastaven tak, ze neprijima pakety z jine nez nastavene MAC - 
samozrejmy predpoklad je, ze lide v kancelarich nemaji pristup ke "konci 
dratu" kolegy, ktery by si mohli po dobu jeho nepritomnosti pichnout k 
sobe a samozrejme, nikdo nema fyzicky pristup ke switchi. A samozrejme, 
predpokladam, ze vec neni tak jednoducha, ze si proste k pocitaci kolegy 
sednu, jeho Windows 9x zmacku ESCAPE na uvodni otazku po jmenu a heslu a 
dale vesele pracuji na koleguv ucet. Nebo nabootuju z diskety MS DOS, 
nainstaluji packet-driver (to se vsechno na jednu disketu vejde) a pak 
pomoci FTP na dostupny lokalni disk stahnu co me napadne (a pak uz si to 
k sobe presunu jen lokalne). Proste, chete-li mit jistotu, musi byt 
bezpecne nedostupne pouzit koleguv pocitac i jeho konec dratu. A to v 
mnohych podnicich rozhodne neplati, takze ani HW reseni neni nic nez jen 
zdanlive bezpecne.

	SW reseni je zalozeno na faktu, ze uzivatele na svem stroji umeji zmenit 
IP, ale neumeji zmenit MAC. Pokud si muzete dovolit takovyhle 
predpoklad, pak reseni spociva v tom, ze ARP tabulku routeru naplnite 
statickymi zaznamy pro vsechny (i nepouzivane) adresy lokalni site. Pak 
je zajisteno alespon to, ze musi byt spravna kombinace IP/MAC, jinak 
spojeni nefunguje. Pozor, pokud pouzivate DHCP nebo BOOTP na routeru, 
daemoni, v ramci prideleni adresy, provadeji zmeny v ARP a tim staticke 
zaznamy obvykle nici (je nutne provest zasah v BOOTPD/DHCPD).

	At uz zvolite jakekoliv reseni nezapomente, ze v jednu chvili muze 
pracovat vice lidi, takze jeden poplatek bude potreba rozuctovavat ma 
vice PC (a ted jak - podilem podle poctu lidi ? podilem podle objemu dat 
? kombinaci obojiho ? jak zohlednit, ze zacal sice jeden - a tim 
"vyzral" drazsi cast na pocatku spojeni a pak se pridali dalsi, kdy uz 
je hovor lacinejsi ?) - to uz ale nejsou problemy technicke ...

						Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz




More information about the Users-l mailing list