Kontrola paru MAC-IP
Jaroslav Juha
juha at juhacr.net
Tue Jan 8 19:08:33 CET 2008
----- Original Message -----
From: "Dan Lukes" <dan at obluda.cz>
To: "FreeBSD mailing list" <users-l at freebsd.cz>
Sent: Tuesday, January 08, 2008 4:30 PM
Subject: Re: Kontrola paru MAC-IP
> Jaroslav Juha napsal/wrote, On 01/08/08 15:09:
>> Jde o to, ze na jedne kolizni domene se mohou vyskytnou ucastnici dvou
>> skupin s ruznymi prioritami a je zadouci zabranit, aby jednotlivi
>> ucastnici
>> mezi temito skupinami jednoduse migrovali zmenou IP adresy...
>
> A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP adresu
> neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne, jen o
> zalozku vedle ?
To samozrejme muze, ale musel by si spolu s ni "ukrast" take prislusnou MAC,
resp. jde o to nikoliv povolit jen nektere MAC a zvlast jen nektere IP...
smyslem by melo byt kontrolovat primo dvojice, tedy ze smi komunikovat pouze
IP 1.2.3.4, pokud je prislusna rozhrani aa:bb:cc:dd:ee:ff ...
> Cim viz onou neopravnenou migraci budou moci ziskat tim je vetsi
> pravdepodobnost, ze se brzo rozsiri navod jako ji udelat.
to je jiste pravda... zakazane ovoce chutna nejlepe... ;-)
>
> Taky jsm epouzivali kontrolu tohoto typu, ale to bylo na siti, kde nam
> hardware umoznoval evidenci odkud se ktera MAC pripojovala a soucasne
> meli uzivatele jasne dano misto sveho pripojeni - jakmile se tedy MAC
> jednoho uzivatele zacala obevovat jinde nez mela, byl to take duvod pro
> zvyseni pozornosti.
>
> Cimz nechci rict, ze je to zabrana zcela k nicemu, ale je treba si
> uvedomit, ze bez dalsich evidenci/kontrol je celkem snadno prolomitelna.
Rad si necham poradit... Nemam s autentizaci techto smeru prilisne
zkusenosti... Jak bys to resil Ty? Kerberosem?
>
> Jen je potreba vyplnit IP prostor uplne - to jest - do tabulky dat i
> adresy, ktere se nepouzivaji (s nejakou MAC) - jinak by kazdy mohl
> pouzit "volne" adresy.
>
>> Nene, slo mi o to, ze nekdy by mohla byt potreba, aby se nekde v
>> prostorech,
>> kde se nikdo nepovolany ke dratum nedostane mohl pripojit jakykoliv
>> stroj,
>> tedy ze v cele siti by bylo potreba mit povolenou MAC, ale napr. v nejake
>> mistnosti "pod zamkem" by se mohl volne pripojit kdokoliv s cimkoliv"...
>
> Pokud nemas infrastruktur ktera dokaze rozlisit odkud se dany clovek
> pripojuje, tak neni zpusob, jak rozlisit, jestli se dany pocitac
> pripojuje z duveryhodne mistnosti nebo odjinud.
V tomto pripade neni nutne vedet, odkud se dany clovek pripojuje, naopak by
mel byt umoznen pohyb kdekoliv po siti... Pokud to ukazu na prikladu, tak
mame firmu z IT oblasti, aby se zamezilo tomu, ze si budou zamestnanci
pripojovat do site sve soukrome notebooky a pristupovat s nimi k Internetu
pres nejaky firemni router (nebo do jineho segmentu pres router), tak se
povoli pristup jen stavajicim pocitacum, ktere nejsou soukrome. Pokud pak
nekdo prijde se svym notesem, tak se nikam za router nedostane, proto zacne
treba laborovat s IP nebo i MAC, ale musel by se nutne trefit do konkretniho
paru IP a k ni prislusne MAC (muze si je samozrejme odchytit, ale rekneme,
ze se nepredpoklada, ze by pracovnici byli natolik znali...). No a pak tu
mame servis, kde se provadi opravy pocitacu, ktere prinesou zakaznici, tyto
pocitace nejsou samozrejme v siti registrovane a pro jednoduchost se to ani
delat nechce. Proto se nektera mistnost, kam maji pristup jen povolane osoby
prenatuje s maskaradou, tudiz servisovane pocitace bude mozne bez problemu
pripojit do site a aktualizovat nebo delat cokoliv jineho, vyzadujiciho
funkcni pripojeni k Internetu, jelikoz se vuci brane do Internetu (nebo
dalsim routerum) budou prezentovat jako posledni router pred nimi, ktery
pristup povoleny mam, teda alespon doufam, ze by to tak fungovalo....
>
> Dan
>
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
More information about the Users-l
mailing list