Kontrola paru MAC-IP
Dan Lukes
dan at obluda.cz
Tue Jan 8 19:53:49 CET 2008
Jaroslav Juha napsal/wrote, On 01/08/08 19:08:
>> A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP adresu
>> neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne, jen o
>> zalozku vedle ?
>
> To samozrejme muze, ale musel by si spolu s ni "ukrast" take prislusnou MAC,
Samozrejme. Tu ziska snadno v dobe, kdy pocitac opravnene pouzivajici
danou IP sit skutecne pouziva. Staci na nej pingnout.
>> Cimz nechci rict, ze je to zabrana zcela k nicemu, ale je treba si
>> uvedomit, ze bez dalsich evidenci/kontrol je celkem snadno prolomitelna.
>
> Rad si necham poradit... Nemam s autentizaci techto smeru prilisne
> zkusenosti... Jak bys to resil Ty? Kerberosem?
Puvodne to byla, jak uz jsem napsal, staticka ARP (funkcni automaticky)
plus obcasna kontrola toho, ze se opravnena MAC nestehuje nekam kam nema.
Pote co se nekolikrat stalo, ze doslo ke zneuziti MAC i IP primo ze
spravneho mista (v te mistnosti nebyva jen jeden clovek) jsme presli na
802.1x autentizaci.
To ale vyzaduje hardwarovou podporu ze strany switchu. Za switchem je
jako backend RADIUS.
Navic to klade urcite naroky na uzivatele (musi byt schopni pocitac
nakonfigurovat) coz nemusi byt vzdy mozne. Ale pokdu jde o sit, kde jsou
vsechny pocitace "firemni", pak ty maji jiste sveho centralniho sitoveho
spravce, ktery by je prislusne nastavil.
Hardwarovou podporu ale potrebujes v kazdem pripade a pokud to tvoje
switch eneumi (nebo dokonce nejde o sit plne switchovanou) pak nejde o
lacinou zalezitost.
>>> Nene, slo mi o to, ze nekdy by mohla byt potreba, aby se nekde v
>>> prostorech,kde se nikdo nepovolany ke dratum nedostane mohl pripojit jakykoliv
>>> stroj,
Pokud ma takova mistnost samostatne pripojeni oddelene od chranene site
pak to mozne je - na tuhle IP sit proste ARP tabulku nenaplnim.
> musel by se nutne trefit do konkretniho
> paru IP a k ni prislusne MAC (muze si je samozrejme odchytit, ale rekneme,
> ze se nepredpoklada, ze by pracovnici byli natolik znali...)
Neni potreba aby "pracovnici" staci jeden. Dokonce nemusi byt ani jeden
- staci jeho pocitacove gramotnejsi syn.
Zalezi jak sladke ovoce a jak obtizne dostupne chranis.
Jakmile bude jednou navod napsany, jde v podstate o par jednoduchych
ukonu, ktere zvladne i ucitelka na zvlastni.
Dan
More information about the Users-l
mailing list