Kontrola paru MAC-IP
Jaroslav Juha
juha at juhacr.net
Tue Jan 8 20:24:52 CET 2008
Vsem moc diky za prinosne rady a pripominky!
J.
----- Original Message -----
From: "Dan Lukes" <dan at obluda.cz>
To: "FreeBSD mailing list" <users-l at freebsd.cz>
Sent: Tuesday, January 08, 2008 7:53 PM
Subject: Re: Kontrola paru MAC-IP
> Jaroslav Juha napsal/wrote, On 01/08/08 19:08:
>>> A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP adresu
>>> neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne, jen o
>>> zalozku vedle ?
>>
>> To samozrejme muze, ale musel by si spolu s ni "ukrast" take prislusnou
>> MAC,
>
> Samozrejme. Tu ziska snadno v dobe, kdy pocitac opravnene pouzivajici
> danou IP sit skutecne pouziva. Staci na nej pingnout.
>
>>> Cimz nechci rict, ze je to zabrana zcela k nicemu, ale je treba si
>>> uvedomit, ze bez dalsich evidenci/kontrol je celkem snadno prolomitelna.
>>
>> Rad si necham poradit... Nemam s autentizaci techto smeru prilisne
>> zkusenosti... Jak bys to resil Ty? Kerberosem?
>
> Puvodne to byla, jak uz jsem napsal, staticka ARP (funkcni automaticky)
> plus obcasna kontrola toho, ze se opravnena MAC nestehuje nekam kam nema.
>
> Pote co se nekolikrat stalo, ze doslo ke zneuziti MAC i IP primo ze
> spravneho mista (v te mistnosti nebyva jen jeden clovek) jsme presli na
> 802.1x autentizaci.
>
> To ale vyzaduje hardwarovou podporu ze strany switchu. Za switchem je
> jako backend RADIUS.
>
> Navic to klade urcite naroky na uzivatele (musi byt schopni pocitac
> nakonfigurovat) coz nemusi byt vzdy mozne. Ale pokdu jde o sit, kde jsou
> vsechny pocitace "firemni", pak ty maji jiste sveho centralniho sitoveho
> spravce, ktery by je prislusne nastavil.
>
> Hardwarovou podporu ale potrebujes v kazdem pripade a pokud to tvoje
> switch eneumi (nebo dokonce nejde o sit plne switchovanou) pak nejde o
> lacinou zalezitost.
>
>>>> Nene, slo mi o to, ze nekdy by mohla byt potreba, aby se nekde v
>>>> prostorech,kde se nikdo nepovolany ke dratum nedostane mohl pripojit
>>>> jakykoliv
>>>> stroj,
>
> Pokud ma takova mistnost samostatne pripojeni oddelene od chranene site
> pak to mozne je - na tuhle IP sit proste ARP tabulku nenaplnim.
>
>> musel by se nutne trefit do konkretniho
>> paru IP a k ni prislusne MAC (muze si je samozrejme odchytit, ale
>> rekneme,
>> ze se nepredpoklada, ze by pracovnici byli natolik znali...)
>
> Neni potreba aby "pracovnici" staci jeden. Dokonce nemusi byt ani jeden
> - staci jeho pocitacove gramotnejsi syn.
>
> Zalezi jak sladke ovoce a jak obtizne dostupne chranis.
>
> Jakmile bude jednou navod napsany, jde v podstate o par jednoduchych
> ukonu, ktere zvladne i ucitelka na zvlastni.
>
> Dan
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
More information about the Users-l
mailing list