[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: packet shaper

Jens Benecke schrieb:
> - von den 350 Leuten hier haben mit Sicherheit mehr als 100 bei ihrem
>   Browser niemals die Startseite abgestellt, und der holt die jedes

Ahrrg - der sch** IE. Hab' ich auf die Schnelle nicht daran gedacht, 
weil sich das in Umgebungen, wo man auch die Clients konfiguriert, 
nicht so zeigt. Kann man aber sicher hinbekommen. Dann gehen eben alle 
Request auf ein beliebiges Ziel/Port 80 auf einen IP-basierten VHost 
und alle Requests werden vorher mit dem Rewriter auf die index.html 
gelenkt. Sollte reichen. Die Startseiten-DAUs haben dann nach dem Kauf 
und Auspacken des PCs direkt die Intranet-Anleitung auf dem Schirm und 
Du bist der Gott ;-))

> - Es gibt Clients, die können keinen Proxy einstellen. Die sollen
> aber auch cachen können. (z.B. embedded Browser von irgendwelchen

Im Ernst? Welche Geräte genau? Wegen so ein paar Sonderlingen würde ich 
kein Netzwerk-Konzept über den Haufen werfen. Entweder die haben Pech 
und sollen mal minimalste Standards erlernen oder müssen eine 
IP-basierte Sonderlösung bekommen. Letzteres passiert auch andauernd in 
Firmen, wo gerade die Chefs immer das neueste Spielzeug brauchen, oder 
man hat geeignete BOFH-Rethorik intus. ;-)

> Natürlich. Wir haben auch die Auflage, an Switches usw. nur 3Com zu
> kaufen - warum, weiss keiner. "Ist halt so."

Servicevertrag, Rabattvereinbarung, Sachbearbeiter bekommt Weihnachts-
geschenke im Hochsommer - irgend was in der Art vermutlich.

> DHCP geht momentan noch nicht. Das Studentenwerk will eindeutige
> Zimmer-IP-Zuweisungen (von wegen Haftbarkeit usw). Und soweit ich
> weiss, kann man zwar IP und MAC problemlos koppeln, aber noch nicht
> IP und Hub-Port (=Zimmer).

Das hardware-technisch zu lösen, wäre schweineteuer. Das simple 
Einstellen falscher IP-Adressen zu verhindern wäre noch machbar, indem 
jeder IP die entsprechende MAC-Adresse zugeordnet werden. Die 
technische Realisierung ist relativ simpel, die organisatorische ist 
das Problem.

Statische Einstellungen im ARP-Cache mittel /etc/ethers (man ethers) 
sind bei hunderten von Clients nicht ratsam. Einfach ist entsprechende 
Netfilter-Einträge zu führen. Ich sehe hier nur als zwingende 
Voraussetzung, dass die Table primär mit Connection-Tracking arbeitet. 
Das heisst erste Regel ist ein ACCEPT von "ESTABLISHED,RELATED". Dann 
laufen nur die ersten Pakete die durch die (ggf. hunderte Einträge 
lange Table). Einziges Risiko ist die Performance, die reichen muss.

Was die organisatorische Seite angeht, könnte man den Nutzern 
beispielsweise Name/Passwort für das Intranet geben. Sobald Sie das 
erste mal in's Netz gehen, stolpern Sie in obiges transparent-Proxy 
Portal. Die MAC-Adresse kann dann von einer Netfilterregel per LOG 
erfasst werden. Dann hängt es nur noch von der Programmierung einer 
Software-/Datenbanklösung ab, die Namen-IP-Zimmer-MAC-Zuordnungen zu 
verwalten und entsprechende Netfilter-Regeln einzurichten. Technisch 
eigentlich simpel, aber eine ganze Menge Bastelarbeit für langweilige 
Wochenende...

Somit liesse sich zumindest simples IP-Spoofing verhindern. Hacks auf 
ARP/MAC-Ebene ist allerdings kein Kraut gewachsen. Aber die Zahl der 
Leute, die dazu überhaupt in der Lage sind, kann man wohl ein einer 
Hand abzählen und mit einem mitlaufenden arpwatch auf die Schliche 
kommen.

Softwaretechnisch lässt sich die Art von totaler Sicherheit erreichen 
(zumindest in Bezug auf Gates und Server), wenn man in einem Netz 
durchgehend IPSEC verwendet und jeden andere Form des Netzzugriffs 
verwehrt. Problem dabei ist allerdings wieder die Performance des 
Gates. 

-- 
rainer@ellinger.de


--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: