Dotaz ohledne IPFW

Dan Lukes dan at obluda.cz
Thu Sep 13 08:35:58 CEST 2007


Daniel Dvořák wrote:
> 	Ja si ale stale myslim, ze by pro vas bylo daleko snazsi tem nemennym 
> MAC proste pridelovat nemennou IP, to, ze si ji neprenastavi na jinou 
> hlidat statickymi zaznamy v ARP a pak smerovat podle cistych IP a o MAC 
> uz se nestarat. Nicmene, jen vy znate vsechny detaily site, zadani i 
> potreb, takze to si musite rozhodnout vy.


> Nicmene o to tu nejde, nejde o prolomeni ochrany pomoci mac adres ale o
> to jak to vlastne funguje.

> No a dnes jsem k zdeseni zjistil ze ac pakety ze zakazane ip adresy
> odchazeji a ta stanice se neskrtne, kernel hlasi pokus o modifikaci mac
> adres tak kupodivu pravidla
> v ipfw ktery jsem si napsal za ucelem zakazu trafficu ze zakazanych mac
> adres maji ve sloupci pocet paketu a pocet bajtu celou tu dobu nulu. :)

	Protoze tenhle trik blokuje (a nikdy tomu nebylo jinak) jen jeden smer 
komunikace. A i ten jen podminene.

	Je to totiz tak - u prichoziho paketu neni nesoulad zdrojove IP a MAC 
duvodem k jeho odmitnuti - to je duvodem k uprave ARP zaznamu. A teprve 
to, ze to nejde (protoze narazi na kolidujici permanentni zaznam) je 
duvod k podiveni. Paket ale zastaven neni - a pokud ho nezastavi neco 
jineho z jineho duvodu, tak normalne projde.

	U odchoziho paketu take nenastava zadny duvod k "neprojiti" - jen je 
proste paket vybaven cilovou MAC adresou dle ARP tabulky a tedy jinou 
nez jakou ma cilova karta.

	Kdyby ale mel cilovy pocitac kartu v prepnutou do promiskuitniho rezimu 
(a tedy prijimap vsechny pakety bez ohledu na MAC) mel by byl schopen 
celkem normalni komunikace. Tedy, za predpokladu, ze k nemu paket 
nakonec preci jen dorazi, coz treba v pripade switchovane site neni 
samozrejme.

> na Dana L. ... kde pise ze takle to dela i on.

	No, ono je to za malo penez docela dost muziky - da se to pomerne 
snadno implementovat, a ma to urcite vysledky, ktere ve spouste pripadu 
dostacuji - obzvlast pokud sit je switchovana. Proti sofistikovanemu 
uzivateli ale nemusi pomoci.

	Vsak jsme take na nekterych nasich sitich presli (i kdyz nejen z 
bezpecnostnich duvodu) na individualni 802.1x/PEAP autentizaci. Kdyz 
chci uzivatele "vykopnout", stane se to uz na teto urovni - proste se 
vubec neasociuje.  Takova autentizace ale samozrejme vyzaduje urcita 
nastaveni na strane uzivatele (obzvlast kdyz se, jako v nasem pripade, 
jedna o *dratovou* nikoliv *bezdratovou* sit) a tady je obchodni 
rozhodnuti, zda je nasazeni takoveho, pro uzivatele komplikovanejsiho, 
mechanismu na miste ci nikoliv.

	Zase nam to ale umoznilo rozdelit sit na VLANy aniz by bylo treba 
zavest "topologicke" deleni u zasuvek - konkretni zasuvky nejsou v 
konkretnim VLANu - az podle autentizace se zaradi do toho VLANu, ktery 
konkretnimu uzivateli prislusi (to jsou ty pred chvili zminene jine nez 
bezpecnostni duvody). Dokonce je to tak, ze i "nehodny" uzivatel se do 
site nakonec preci jen dostane, ale pouze do VLANu vyhrazeneho takovym 
nehodnym - a tam muze mit velmi omezeny pristup - treba k navodum, 
kontaktnim udajum technicke podpory a tak. Jakmile uz jednou clovek 
tenhle system zavede, otevira se znacny prostor fantazii ...

							Dan





More information about the Users-l mailing list