obmedzenie http downloaderov
Dan Lukes
dan at obluda.cz
Wed May 17 13:20:58 CEST 2006
Vladimír Benc napsal/wrote, On 05/17/06 12:03:
>> A navic, vyzaduje, abyste mel zajisteno, ze IP adresa je
>> jednoznacne prirazena konkretnimu uzivateli a on nesmi mit moznost si
>> ji vymenit za jinou. To neni zdaleka vzdy zajisteno a neni to ani zas
>> tak jednoduche zajistit.
>
> Muzete alespon nastinit, jak "to zajistit", pokud plati podminka
> nize ?
>
>> vypnuto (jestli mate svazanou IP a MAC, tak bude muset prohodit i
>> MAC, coz je ale trivialni), a bez omezeni pojede dal ...
Ja si ted vybavuji metody ctyri -
1. uzivatel vnitrni site se muze dostat "ven" jen tak, ze navaze nejaky
VPN tunel s vhodnym VPN serverem a teprve timto tunelem (ktery je
autentizovany a tak o totoznosti uzivatele neni pochyb) odchazi ven.
Problem teto metody je zbytecny overhead a pri vetsim mnozstvi lidi
take vykonostni problemy onoho VPN serveru (na druhou stranu, takovych
muze byt vic). Dalsim problemem muze byt volba vhodneho VPN
serveru/protokolu.
2. Kombinace svazani IP a MAC (staticke ARP zaznamy na routeru)
kombinovane s evidenci na jakem sitovem portu se objevila jaka MAC. To
je spis administrativni opatreni, protoze prohresku nezabrani - ale
umozni ho dodatecne identifikovat. Muzete vsak prislusne informace
analyzovat dostatecne casto a pak muze byt prestupce "zastrelen"
relativne vcasne. Nevyhodou je, ze pouzita infrastruktura (switche) musi
byt pouzitelnym zpusobem ochotny poskytovat pozadovanou informaci (jaka
MAC je na kterem portu pouzivana). Druhou nevyhodou je, ze sit je
"nemobilni" - pocitac musi byt registrovan an konkretni zasuvce (portu
switche) a neni dovoleno s nim "jen tak" prechazet.
Variantou teto metody je, ze mam na prislusnych switchich a portech
(pokdu to umi) rovnou nastaveny jako jedine povolene prave ty MAC ktere
tam byt maji - jina pak v dane zasuvce nefunguje.
3. Dalsi moznost je zde jiz zminena WWW autentizace na routeru (treba
pomoci WWW), jak ji popsal Petr Macek. Ano, Windows, pokdu si nastavim
cizi adresu, ale mam jinou MAC budou "rvat". Uz si ale nejsem jist, ze
budou "rvat" i v pripade, kdy nastavim nejen cizi IP, ale take cizi MAC.
Kazdopadne, at uz rvouci nebo nervouci, takove Windows maji schopnost
v omezene mire komunikovat, a to na ucet autentizovaneho uzivatele.
Omezenou merou mam na mysli, z ebude (nikoli vsak neresitelny) problem s
TCP, ale UDP (a nektere P2P site "jedou" nad UDP) v zasade fungovat
bude. Lze take pouzivat autentizovane pocitace, tkere jejich uzivatel
vypnul bez odhlaseni (coz neni nijak neobvykle).
4. Autentizace na druhe sitove vrtve - 802.1x. To ovsem musi umet
switche a uzivatel musi na sve strane autentizaci tohoto typu
nakonfigurovat, coz muze laikum cinit potize a vubec, pro jeho OS musi
byt v tomto smeru podpora (pro Windows >2000 a Linux je urcite, dal zas
takovy prehled nemam, podpora na FreeBSD je *velmi* problematicka). Tim
vime, kdo danou zasuvku v konkretni chvili pouzival a lze vynutit i to,
ze pouziva prave a pouze svoji registrovanou MAC. Zbytek jsou staticke
ARP zaznamy na routeru, ktere svazi (alespon pro prichozi pakety) MAC se
spravnou IP.
Metody [1] a [3] nedokazi zabranit neautorizovane pripojenemu pocitaci
komunikovat po vnitrni siti - coz muze byt nekdy take nezadouci (siri
tam viry, pokousi se napadnout ostatni pocitace a ty pak vyuzit ke
komunikaci ven a podobne).
My v soucasne chvili pouzivame v zasade [4] pripadne, na nakterych
sitich, "jen" monitorujeme, kde se objevila ktera MAC (bez pravidelneho
vyhodnocovani).
Nejsem si ovsem jist, zda neopoustime oblast FreeBSD prilis a nakolik
to zde majoritu ucastniku zajima nebo alespon neobtezuje - mozna by bylo
lepsi v pripadne dalsi diskusi pokracovat jiz mimo konferenci ...
Dan
P.S. K Petrovi M. - na to ipfw tee bacha - krome toho, ze to udela kopii
do divert socketu je to soucasne "accept" pro originalni paket. Jinak, u
nas studenti neplati za data, ale maji zakazano, pod postihem odpojeni,
urcity objem dat bez predchozi domluvy prekrocit. Mluvim o datech
odchozich - prichozi, maji-li "verejne" adresy, ovlivnit dostatecne
nemohou (predpokladam, z ei u vas bud' nemaji verejne adresy nebo plati
jen za odchozi data).
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list