Re: Gefaelschte MAC-Addys finden

To: debian-user-german@lists.debian.org
Subject: Re: Gefaelschte MAC-Addys finden
From: Harald Weidner <hweidner-lists@gmx.net>
Date: Thu, 13 Nov 2003 17:49:46 +0000 (UTC)
Message-id: <[🔎] bp0g7q$g46$1@shadowland.metal.loc>
In-reply-to: <[🔎] 20031111091033.GC12185@konqui.de>

Hallo,

Rainer Wiener <rainer@konqui.de>:

>ich habe hier einen dhcp laufen der die IPs auf Basis der MAC-Addy
>vergibt. Desweiteren wird über die IP ein Traffic-Volumen berechnet.
>Nun ist es ja möglich MAC-Addys zu fälschen. Gibt es eine möglichkeit
>festzustellen ob jemand mit einer gefälschten MAC unterwegs is?

Dieses Problem tritt in vielen Studentenwohnheimen oder WGs auf und
ist mir auch schon in Firmen begegnet.

Eine effektive Lösung ist nur mit einem VPN möglich. Das Routing auf
dem Ethernet wird auf das Hausnetz beschränkt und ist kostenlos. Irgendwo
im Netz wird ein VPN Server eingerichtet und das Accounting durchgeführt.
Am einfachsten geht das mit PPTP (PoPToP) und statischen IP-Nummern für
die Benutzer. Windows-Clients bringen einen PPTP-Client gleich mit, und
unter Linux ist die Installation nicht schwer, wenn man auf MPPE-
Verschlüsselung verzichten kann. Andernfalls muss man den Kernel patchen.

Für diejenigen Bewohner, die keinen PPTP Client verwenden können oder
wollen, bietet sich folgende Option an:

Das Routing im Ethernet wird zunächst auf das Hausnetz beschränkt. Über
ein Web-basiertes Frontend kann man mit Passwort das globale Routing
für die aktuelle IP-Nummer und MAC-Adresse "freischalten". Die Frei-
schaltung wieder wieder aufgehoben
- nach expliziter "Abmeldung" per Web-Interface
- nach 5-minütiger Inaktivität
- spätestens eine Stunde nach der Freischaltung.

Das ist keine hundertprozentig sichere Lösung. Man kann nicht
verhindern, dass ein Angreifer die IP-Nummer und MAC-Adresse eines
authentifizierten Benutzers klaut, merkt es aber daran, dass eigener
Datentransfer nicht mehr geht. Durch die Timeouts wird
Schadensbegrenzung durchgeführt; man kann nicht auf Kosten eines
Bewohners surfen, der seit Stunden im Hörsaal sitzt.

Diese Lösung ist nicht schwer zu implementieren. In einer eigenen
iptables-Chain wird pro freigeschaltetem Benutzer und pro Richtung
eine Regel mit IP-Nummer und MAC geführt, deren Target auf eine Chain
mit weiterem Regeln/Accounting zeigt. Am Ende der ersten Chain steht
eine DROP Regel. Wichtig ist, das Accounting erst ganz am Ende zu machen;
sonst könnte ein Angreifer auf Kosten eines Bewohners Pakete ins DENY
blasen. Alle paar Minuten überprüft ein Cronjob, ob Pakete eines frei-
geschalteten Benutzers im Accounting auftauchen und/oder ob die Stunde
um ist.

Ein weiterer Vorteil dieser Lösung ist, dass sie für den Benutzer
unbequem ist und ihn sanft zur Nutzung des VPN bekehrt. ;-)


Gruß, Harald

-- 
Harald Weidner                           hweidner@gmx.net

Reply to:

References:
- Gefaelschte MAC-Addys finden
  - From: Rainer Wiener <rainer@konqui.de>

Prev by Date: Re: Lehmann's neue Debian(-basierte) Installations-DVD
Next by Date: Re: fetchmail für alle Benutzer?
Previous by thread: Re: Fortune
Next by thread: kein Login für Benutzer (ausser root) möglich (dringend)
Index(es):
- Date
- Thread