Kontrola paru MAC-IP

[Jaroslav Juha]

----- Original Message ----- 
From: "Dan Lukes" <dan at obluda.cz>
To: "FreeBSD mailing list" <users-l at freebsd.cz>
Sent: Tuesday, January 08, 2008 4:30 PM
Subject: Re: Kontrola paru MAC-IP


> Jaroslav Juha napsal/wrote, On 01/08/08 15:09:
>> Jde o to, ze na jedne kolizni domene se mohou vyskytnou ucastnici dvou
>> skupin s ruznymi prioritami a je zadouci zabranit, aby jednotlivi 
>> ucastnici
>> mezi temito skupinami jednoduse migrovali zmenou IP adresy...
>
> A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP adresu
> neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne, jen o
> zalozku vedle ?

To samozrejme muze, ale musel by si spolu s ni "ukrast" take prislusnou MAC, 
resp. jde o to nikoliv povolit jen nektere MAC a zvlast jen nektere IP... 
smyslem by melo byt kontrolovat primo dvojice, tedy ze smi komunikovat pouze 
IP 1.2.3.4, pokud je prislusna rozhrani aa:bb:cc:dd:ee:ff ...

> Cim viz onou neopravnenou migraci budou moci ziskat tim je vetsi
> pravdepodobnost, ze se brzo rozsiri navod jako ji udelat.

to je jiste pravda... zakazane ovoce chutna nejlepe... ;-)

>
> Taky jsm epouzivali kontrolu tohoto typu, ale to bylo na siti, kde nam
> hardware umoznoval evidenci odkud se ktera MAC pripojovala a soucasne
> meli uzivatele jasne dano misto sveho pripojeni - jakmile se tedy MAC
> jednoho uzivatele zacala obevovat jinde nez mela, byl to take duvod pro
> zvyseni pozornosti.
>
> Cimz nechci rict, ze je to zabrana zcela k nicemu, ale je treba si
> uvedomit, ze bez dalsich evidenci/kontrol je celkem snadno prolomitelna.

Rad si necham poradit... Nemam s autentizaci techto smeru prilisne 
zkusenosti... Jak bys to resil Ty? Kerberosem?
>
>  Jen je potreba vyplnit IP prostor uplne - to jest - do tabulky dat i
> adresy, ktere se nepouzivaji (s nejakou MAC) - jinak by kazdy mohl
> pouzit "volne" adresy.
>
>> Nene, slo mi o to, ze nekdy by mohla byt potreba, aby se nekde v 
>> prostorech,
>> kde se nikdo nepovolany ke dratum nedostane mohl pripojit jakykoliv 
>> stroj,
>> tedy ze v cele siti by bylo potreba mit povolenou MAC, ale napr. v nejake
>> mistnosti "pod zamkem" by se mohl volne pripojit kdokoliv s cimkoliv"...
>
> Pokud nemas infrastruktur ktera dokaze rozlisit odkud se dany clovek
> pripojuje, tak neni zpusob, jak rozlisit, jestli se dany pocitac
> pripojuje z duveryhodne mistnosti nebo odjinud.

V tomto pripade neni nutne vedet, odkud se dany clovek pripojuje, naopak by 
mel byt umoznen pohyb kdekoliv po siti... Pokud to ukazu na prikladu, tak 
mame firmu z IT oblasti, aby se zamezilo tomu, ze si budou zamestnanci 
pripojovat do site sve soukrome notebooky a pristupovat s nimi k Internetu 
pres nejaky firemni router (nebo do jineho segmentu pres router), tak se 
povoli pristup jen stavajicim pocitacum, ktere nejsou soukrome. Pokud pak 
nekdo prijde se svym notesem, tak se nikam za router nedostane, proto zacne 
treba laborovat s IP nebo i MAC, ale musel by se nutne trefit do konkretniho 
paru IP a k ni prislusne MAC (muze si je samozrejme odchytit, ale rekneme, 
ze se nepredpoklada, ze by pracovnici byli natolik znali...). No a pak tu 
mame servis, kde se provadi opravy pocitacu, ktere prinesou zakaznici, tyto 
pocitace nejsou samozrejme v siti registrovane a pro jednoduchost se to ani 
delat nechce. Proto se nektera mistnost, kam maji pristup jen povolane osoby 
prenatuje s maskaradou, tudiz servisovane pocitace bude mozne bez problemu 
pripojit do site a aktualizovat nebo delat cokoliv jineho, vyzadujiciho 
funkcni pripojeni k Internetu, jelikoz se vuci brane do Internetu (nebo 
dalsim routerum) budou prezentovat jako posledni router pred nimi, ktery 
pristup povoleny mam, teda alespon doufam, ze by to tak fungovalo....
>
> Dan
>
>
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>