Kontrola paru MAC-IP

Dan Lukes dan at obluda.cz
Tue Jan 8 16:30:52 CET 2008


Jaroslav Juha napsal/wrote, On 01/08/08 15:09:
> Jde o to, ze na jedne kolizni domene se mohou vyskytnou ucastnici dvou 
> skupin s ruznymi prioritami a je zadouci zabranit, aby jednotlivi ucastnici 
> mezi temito skupinami jednoduse migrovali zmenou IP adresy...

	A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP adresu 
neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne, jen o 
zalozku vedle ?

	Cim viz onou neopravnenou migraci budou moci ziskat tim je vetsi 
pravdepodobnost, ze se brzo rozsiri navod jako ji udelat.

	Taky jsm epouzivali kontrolu tohoto typu, ale to bylo na siti, kde nam 
hardware umoznoval evidenci odkud se ktera MAC pripojovala a soucasne 
meli uzivatele jasne dano misto sveho pripojeni - jakmile se tedy MAC 
jednoho uzivatele zacala obevovat jinde nez mela, byl to take duvod pro 
zvyseni pozornosti.

	Cimz nechci rict, ze je to zabrana zcela k nicemu, ale je treba si 
uvedomit, ze bez dalsich evidenci/kontrol je celkem snadno prolomitelna.

  	Jen je potreba vyplnit IP prostor uplne - to jest - do tabulky dat i 
adresy, ktere se nepouzivaji (s nejakou MAC) - jinak by kazdy mohl 
pouzit "volne" adresy.

> Nene, slo mi o to, ze nekdy by mohla byt potreba, aby se nekde v prostorech, 
> kde se nikdo nepovolany ke dratum nedostane mohl pripojit jakykoliv stroj, 
> tedy ze v cele siti by bylo potreba mit povolenou MAC, ale napr. v nejake 
> mistnosti "pod zamkem" by se mohl volne pripojit kdokoliv s cimkoliv"...

	Pokud nemas infrastruktur ktera dokaze rozlisit odkud se dany clovek 
pripojuje, tak neni zpusob, jak rozlisit, jestli se dany pocitac 
pripojuje z duveryhodne mistnosti nebo odjinud.

					Dan





More information about the Users-l mailing list