Dotaz ohledne IPFW
Dan Lukes
dan at obluda.cz
Thu Sep 13 08:35:58 CEST 2007
Daniel Dvořák wrote:
> Ja si ale stale myslim, ze by pro vas bylo daleko snazsi tem nemennym
> MAC proste pridelovat nemennou IP, to, ze si ji neprenastavi na jinou
> hlidat statickymi zaznamy v ARP a pak smerovat podle cistych IP a o MAC
> uz se nestarat. Nicmene, jen vy znate vsechny detaily site, zadani i
> potreb, takze to si musite rozhodnout vy.
> Nicmene o to tu nejde, nejde o prolomeni ochrany pomoci mac adres ale o
> to jak to vlastne funguje.
> No a dnes jsem k zdeseni zjistil ze ac pakety ze zakazane ip adresy
> odchazeji a ta stanice se neskrtne, kernel hlasi pokus o modifikaci mac
> adres tak kupodivu pravidla
> v ipfw ktery jsem si napsal za ucelem zakazu trafficu ze zakazanych mac
> adres maji ve sloupci pocet paketu a pocet bajtu celou tu dobu nulu. :)
Protoze tenhle trik blokuje (a nikdy tomu nebylo jinak) jen jeden smer
komunikace. A i ten jen podminene.
Je to totiz tak - u prichoziho paketu neni nesoulad zdrojove IP a MAC
duvodem k jeho odmitnuti - to je duvodem k uprave ARP zaznamu. A teprve
to, ze to nejde (protoze narazi na kolidujici permanentni zaznam) je
duvod k podiveni. Paket ale zastaven neni - a pokud ho nezastavi neco
jineho z jineho duvodu, tak normalne projde.
U odchoziho paketu take nenastava zadny duvod k "neprojiti" - jen je
proste paket vybaven cilovou MAC adresou dle ARP tabulky a tedy jinou
nez jakou ma cilova karta.
Kdyby ale mel cilovy pocitac kartu v prepnutou do promiskuitniho rezimu
(a tedy prijimap vsechny pakety bez ohledu na MAC) mel by byl schopen
celkem normalni komunikace. Tedy, za predpokladu, ze k nemu paket
nakonec preci jen dorazi, coz treba v pripade switchovane site neni
samozrejme.
> na Dana L. ... kde pise ze takle to dela i on.
No, ono je to za malo penez docela dost muziky - da se to pomerne
snadno implementovat, a ma to urcite vysledky, ktere ve spouste pripadu
dostacuji - obzvlast pokud sit je switchovana. Proti sofistikovanemu
uzivateli ale nemusi pomoci.
Vsak jsme take na nekterych nasich sitich presli (i kdyz nejen z
bezpecnostnich duvodu) na individualni 802.1x/PEAP autentizaci. Kdyz
chci uzivatele "vykopnout", stane se to uz na teto urovni - proste se
vubec neasociuje. Takova autentizace ale samozrejme vyzaduje urcita
nastaveni na strane uzivatele (obzvlast kdyz se, jako v nasem pripade,
jedna o *dratovou* nikoliv *bezdratovou* sit) a tady je obchodni
rozhodnuti, zda je nasazeni takoveho, pro uzivatele komplikovanejsiho,
mechanismu na miste ci nikoliv.
Zase nam to ale umoznilo rozdelit sit na VLANy aniz by bylo treba
zavest "topologicke" deleni u zasuvek - konkretni zasuvky nejsou v
konkretnim VLANu - az podle autentizace se zaradi do toho VLANu, ktery
konkretnimu uzivateli prislusi (to jsou ty pred chvili zminene jine nez
bezpecnostni duvody). Dokonce je to tak, ze i "nehodny" uzivatel se do
site nakonec preci jen dostane, ale pouze do VLANu vyhrazeneho takovym
nehodnym - a tam muze mit velmi omezeny pristup - treba k navodum,
kontaktnim udajum technicke podpory a tak. Jakmile uz jednou clovek
tenhle system zavede, otevira se znacny prostor fantazii ...
Dan
More information about the Users-l
mailing list