Re: packet shaper
Jens Benecke schrieb:
> - von den 350 Leuten hier haben mit Sicherheit mehr als 100 bei ihrem
> Browser niemals die Startseite abgestellt, und der holt die jedes
Ahrrg - der sch** IE. Hab' ich auf die Schnelle nicht daran gedacht,
weil sich das in Umgebungen, wo man auch die Clients konfiguriert,
nicht so zeigt. Kann man aber sicher hinbekommen. Dann gehen eben alle
Request auf ein beliebiges Ziel/Port 80 auf einen IP-basierten VHost
und alle Requests werden vorher mit dem Rewriter auf die index.html
gelenkt. Sollte reichen. Die Startseiten-DAUs haben dann nach dem Kauf
und Auspacken des PCs direkt die Intranet-Anleitung auf dem Schirm und
Du bist der Gott ;-))
> - Es gibt Clients, die können keinen Proxy einstellen. Die sollen
> aber auch cachen können. (z.B. embedded Browser von irgendwelchen
Im Ernst? Welche Geräte genau? Wegen so ein paar Sonderlingen würde ich
kein Netzwerk-Konzept über den Haufen werfen. Entweder die haben Pech
und sollen mal minimalste Standards erlernen oder müssen eine
IP-basierte Sonderlösung bekommen. Letzteres passiert auch andauernd in
Firmen, wo gerade die Chefs immer das neueste Spielzeug brauchen, oder
man hat geeignete BOFH-Rethorik intus. ;-)
> Natürlich. Wir haben auch die Auflage, an Switches usw. nur 3Com zu
> kaufen - warum, weiss keiner. "Ist halt so."
Servicevertrag, Rabattvereinbarung, Sachbearbeiter bekommt Weihnachts-
geschenke im Hochsommer - irgend was in der Art vermutlich.
> DHCP geht momentan noch nicht. Das Studentenwerk will eindeutige
> Zimmer-IP-Zuweisungen (von wegen Haftbarkeit usw). Und soweit ich
> weiss, kann man zwar IP und MAC problemlos koppeln, aber noch nicht
> IP und Hub-Port (=Zimmer).
Das hardware-technisch zu lösen, wäre schweineteuer. Das simple
Einstellen falscher IP-Adressen zu verhindern wäre noch machbar, indem
jeder IP die entsprechende MAC-Adresse zugeordnet werden. Die
technische Realisierung ist relativ simpel, die organisatorische ist
das Problem.
Statische Einstellungen im ARP-Cache mittel /etc/ethers (man ethers)
sind bei hunderten von Clients nicht ratsam. Einfach ist entsprechende
Netfilter-Einträge zu führen. Ich sehe hier nur als zwingende
Voraussetzung, dass die Table primär mit Connection-Tracking arbeitet.
Das heisst erste Regel ist ein ACCEPT von "ESTABLISHED,RELATED". Dann
laufen nur die ersten Pakete die durch die (ggf. hunderte Einträge
lange Table). Einziges Risiko ist die Performance, die reichen muss.
Was die organisatorische Seite angeht, könnte man den Nutzern
beispielsweise Name/Passwort für das Intranet geben. Sobald Sie das
erste mal in's Netz gehen, stolpern Sie in obiges transparent-Proxy
Portal. Die MAC-Adresse kann dann von einer Netfilterregel per LOG
erfasst werden. Dann hängt es nur noch von der Programmierung einer
Software-/Datenbanklösung ab, die Namen-IP-Zimmer-MAC-Zuordnungen zu
verwalten und entsprechende Netfilter-Regeln einzurichten. Technisch
eigentlich simpel, aber eine ganze Menge Bastelarbeit für langweilige
Wochenende...
Somit liesse sich zumindest simples IP-Spoofing verhindern. Hacks auf
ARP/MAC-Ebene ist allerdings kein Kraut gewachsen. Aber die Zahl der
Leute, die dazu überhaupt in der Lage sind, kann man wohl ein einer
Hand abzählen und mit einem mitlaufenden arpwatch auf die Schliche
kommen.
Softwaretechnisch lässt sich die Art von totaler Sicherheit erreichen
(zumindest in Bezug auf Gates und Server), wenn man in einem Netz
durchgehend IPSEC verwendet und jeden andere Form des Netzzugriffs
verwehrt. Problem dabei ist allerdings wieder die Performance des
Gates.
--
rainer@ellinger.de
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: