pocitani prenesenejch dat

azzi at centrum.cz azzi at centrum.cz
Mon Aug 27 13:25:57 CEST 2001
Previous message: pocitani prenesenejch dat
Next message: fptd
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Dekuji za vycerpavajici odpovedi...  neco realizuji a  pokud se vse podari
informuji zde. zvlaste se mi libi ono reseni za pomoci firewallu. je jednoduche
a efektivni. no jeste uvidim. musim vse dobre zvazit.
PM


On 24-Aug-2001 Dan Lukes wrote:
> azzi at centrum.cz wrote:
>> Dobry den.. 
>> 
>> potreboval bych vyresit tento problem.
>> 
>> V lokalni siti bude jeden PC s modemem a ten se bude pripojovat na pozadavek
>> jednotlivejch pocitacu na internet.
>> 
>> Problem vidim ve vyuctovani. Potrebuju nejak zajistit aby se kazdemu pc
>> spocitaly prenesene data / hodina-cas . napr.. zbytek uz doresi script
>> kterej
>> bude znat tarif I2001
>> 
>> Jak to udelat?
> 
> 
>       Reseni je spousta, krome jiz zminenych mymi predrecniky, muzete mit v 
> konfiguraci firewallu "count" rule pro kazdou IP (tolik jich zase 
> nemate) a ty pravidelne, treba jednou za minutu "olizovat". To uz kdesi 
> takhle chodi - a na pomerne velke siti.
> 
>       Dalsi moznost je nechat si delat kopii kazdeho paketu (rule "tee") na 
> port na kterem sedi vase aplikace a ta si paket analyzuje a spocita (to 
> je mozna zbytecne tezke kladivo pro vasi situaci). Mam ozkouseno na 
> velke siti (>400 pocitacu), ze to zvladne i neprilis silna masina.
> 
> 
>> Napadlo mne pocitat nejak data na IP adresy ale to je jednoduse
>> podfouknutelny.
>> muzu pouzit HW adresy karet.. mate nekdo zkusenosti!
> 
>       Tento problem nelze na softwarove urovni vyresit uspokojive. Uvedomte
si, 
> ze MAC adresa je jedina identifikace, kterou mate a pokud lze i tu 
> padelat, nemate nic. Krome toho, ma urovni, na ktere se uz dobre 
> programuje uz zase neni MAC, pod kterou prisel konkretni paket az tak 
> jednoduse dostupna (i kdyz, pokud si program napisete nad /dev/bpf pak 
> tam k paketu dostanete i tuto informaci).
> 
>       HW reseni je v inteligentnim switchi, kazdy pocitac je ve svem portu a 
> port je nastaven tak, ze neprijima pakety z jine nez nastavene MAC - 
> samozrejmy predpoklad je, ze lide v kancelarich nemaji pristup ke "konci 
> dratu" kolegy, ktery by si mohli po dobu jeho nepritomnosti pichnout k 
> sobe a samozrejme, nikdo nema fyzicky pristup ke switchi. A samozrejme, 
> predpokladam, ze vec neni tak jednoducha, ze si proste k pocitaci kolegy 
> sednu, jeho Windows 9x zmacku ESCAPE na uvodni otazku po jmenu a heslu a 
> dale vesele pracuji na koleguv ucet. Nebo nabootuju z diskety MS DOS, 
> nainstaluji packet-driver (to se vsechno na jednu disketu vejde) a pak 
> pomoci FTP na dostupny lokalni disk stahnu co me napadne (a pak uz si to 
> k sobe presunu jen lokalne). Proste, chete-li mit jistotu, musi byt 
> bezpecne nedostupne pouzit koleguv pocitac i jeho konec dratu. A to v 
> mnohych podnicich rozhodne neplati, takze ani HW reseni neni nic nez jen 
> zdanlive bezpecne.
> 
>       SW reseni je zalozeno na faktu, ze uzivatele na svem stroji umeji
zmenit 
> IP, ale neumeji zmenit MAC. Pokud si muzete dovolit takovyhle 
> predpoklad, pak reseni spociva v tom, ze ARP tabulku routeru naplnite 
> statickymi zaznamy pro vsechny (i nepouzivane) adresy lokalni site. Pak 
> je zajisteno alespon to, ze musi byt spravna kombinace IP/MAC, jinak 
> spojeni nefunguje. Pozor, pokud pouzivate DHCP nebo BOOTP na routeru, 
> daemoni, v ramci prideleni adresy, provadeji zmeny v ARP a tim staticke 
> zaznamy obvykle nici (je nutne provest zasah v BOOTPD/DHCPD).
> 
>       At uz zvolite jakekoliv reseni nezapomente, ze v jednu chvili muze 
> pracovat vice lidi, takze jeden poplatek bude potreba rozuctovavat ma 
> vice PC (a ted jak - podilem podle poctu lidi ? podilem podle objemu dat 
> ? kombinaci obojiho ? jak zohlednit, ze zacal sice jeden - a tim 
> "vyzral" drazsi cast na pocatku spojeni a pak se pridali dalsi, kdy uz 
> je hovor lacinejsi ?) - to uz ale nejsou problemy technicke ...
> 
>                                               Dan
> 
> 
> -- 
> Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
> root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
> AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz

----------------------------------------------------------
--    E-Mail: azzi at centrum.cz                           --
--    Date: 26-Aug-2001                                 --
--    Time: 18:30:23                                    --
--                                                      --
-- but,but.., Einstein has also twentyfour hours a day! --
----------------------------------------------------------
Previous message: pocitani prenesenejch dat
Next message: fptd
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list