Kontrola paru MAC-IP

Dan Lukes dan at obluda.cz
Tue Jan 8 19:53:49 CET 2008


Jaroslav Juha napsal/wrote, On 01/08/08 19:08:
>> A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP adresu
>> neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne, jen o
>> zalozku vedle ?
> 
> To samozrejme muze, ale musel by si spolu s ni "ukrast" take prislusnou MAC, 

	Samozrejme. Tu ziska snadno v dobe, kdy pocitac opravnene pouzivajici 
danou IP sit skutecne pouziva. Staci na nej pingnout.

>> Cimz nechci rict, ze je to zabrana zcela k nicemu, ale je treba si
>> uvedomit, ze bez dalsich evidenci/kontrol je celkem snadno prolomitelna.
> 
> Rad si necham poradit... Nemam s autentizaci techto smeru prilisne 
> zkusenosti... Jak bys to resil Ty? Kerberosem?

	Puvodne to byla, jak uz jsem napsal, staticka ARP (funkcni automaticky) 
plus obcasna kontrola toho, ze se opravnena MAC nestehuje nekam kam nema.

	Pote co se nekolikrat stalo, ze doslo ke zneuziti MAC i IP primo ze 
spravneho mista (v te mistnosti nebyva jen jeden clovek) jsme presli na 
802.1x autentizaci.

	To ale vyzaduje hardwarovou podporu ze strany switchu. Za switchem je 
jako backend RADIUS.

	Navic to klade urcite naroky na uzivatele (musi byt schopni pocitac 
nakonfigurovat) coz nemusi byt vzdy mozne. Ale pokdu jde o sit, kde jsou 
vsechny pocitace "firemni", pak ty maji jiste sveho centralniho sitoveho 
spravce, ktery by je prislusne nastavil.

	Hardwarovou podporu ale potrebujes v kazdem pripade a pokud to tvoje 
switch eneumi (nebo dokonce nejde o sit plne switchovanou) pak nejde o 
lacinou zalezitost.

>>> Nene, slo mi o to, ze nekdy by mohla byt potreba, aby se nekde v 
>>> prostorech,kde se nikdo nepovolany ke dratum nedostane mohl pripojit jakykoliv 
>>> stroj,

	Pokud ma takova mistnost samostatne pripojeni oddelene od chranene site 
pak to mozne je - na tuhle IP sit proste ARP tabulku nenaplnim.

> musel by se nutne trefit do konkretniho 
> paru IP a k ni prislusne MAC (muze si je samozrejme odchytit, ale rekneme, 
> ze se nepredpoklada, ze by pracovnici byli natolik znali...)

	Neni potreba aby "pracovnici" staci jeden. Dokonce nemusi byt ani jeden 
- staci jeho pocitacove gramotnejsi syn.

	Zalezi jak sladke ovoce a jak obtizne dostupne chranis.

	Jakmile bude jednou navod napsany, jde v podstate o par jednoduchych 
ukonu, ktere zvladne i ucitelka na zvlastni.

					Dan




More information about the Users-l mailing list