Re: mac ...

To: Robert Olejnik <teon@pentagon.eu.org>
Cc: debian-user-polish@lists.debian.org
Subject: Re: mac ...
From: Mirek Grochowski <mgroch@uwolni.net>
Date: Thu, 1 Aug 2002 10:30:22 +0200 (CEST)
Message-id: <Pine.LNX.4.44.0208011021090.27863-100000@uwolni.net>
In-reply-to: <20020801085447.GA1770@pentagon.eu.org>

On Thu, 1 Aug 2002, Robert Olejnik wrote:

> ByĹ?o to tak, Thu, Aug 01, 2002 at 09:46:40AM +0200 Mirek Grochowski napisaĹ? do mnie coĹ? takiego:
> > On Thu, 1 Aug 2002, Bartek MalczyĹ?ski wrote:
> >
> > > > jesli ktos uwaze sie za "zaawansowanego" to nie powinien miec z tym
> > > > problemu. Z tego powodu ja bym zmienil troche konzept.
> > > > Nie nalezy blokowac poszczgolnych MAC tylko tym MAC ktore sa znane
> > > > zezwolic na wyjscie.
> > >
> > > No wiec wlasnie od tego jest plik /etc/ethers
> > > Wiazesz na stale MAC i IP poczym ustawiasz ktory
> > > ma miec dostep, a ktory nie.
> > >
> > Ale tak naprawde, to zaawansowany uzytkownik chyba i tak nie bedzie mial
> > problemu. Wystarczy, ze wlaczy sie do sieci lokalnej z jakimkolwiek IP,
> > przypinguje jakakolwiek maszyne w sieci lokalnej (a to przeciez bedzie
> > mogl zrobic jesli tylko zna klace adresow, z ktorych kozystasz), sprawdzi
> > sobie jej MAC i przypisze swojej karcie.
> > No i jak sie przed czyms takim zabezpieczyc?
> > Wydaje mi sie, ze odpowiednie poswiczowanie sieci moze byloby wyjsciem,
> > ale to jest niestety drogie, ponadto jeslibys mial uzywac takiego
> > rozwiazania prawdopodobnie nie pytalbys o blokowanie MACow bo
> > wystarczyloby tylko odpowiednio popodpinac userow.
> >
> wszystko da rady zrobiÄ?, ja mam takie rozwiÄ?zanie:
>
> mam sieÄ? w ktĂłrej na sztywno powiÄ?zane sÄ? macaddressy z ipekami, na
> routerze zablokowane sÄ? ipeki ktĂłre sÄ? nieuĹźywane, wiÄ?c jedynÄ? moĹźliwoĹ?Ä?
> aby cokolwiek zrobiÄ?, trzeba wybraÄ? ipeka z niezablokowanych (a te jak
> mĂłwiĹ?em sÄ? powiÄ?zane z macami). NastÄ?pnie chodzi w pamiÄ?ci program,
> ktĂłry dokonuje sprawdzeĹ? czy wszysko jest w porzÄ?dku (ip <=> mac), to
> wszystko dodatkowo powiÄ?zane jest z bazÄ? danych, jakby co mam
> powiadomienia na kom i maile z dokĹ?adnym opisem oraz danymi klientĂłw
> (wszystko dodatkowo spakietowane, takĹźe instaluje sobie na routerach bez
> problemu...)...
>
Nooo jesli routera na osobnych interfejsach sa IPki z wyjsciem w swiat
(siec A) i te bez wyjsca (siec B) to wszystko OK, nikt z sieci B nie
odczyta jakiegokolwiek MACa z sieci A i odwrotnie. Jednak takie cos jest
rozwiazaniem bardziej sprzetowym niz programowym.
Ale jesli wszystkie IPki podpiete sa do jednej podsieci to koles bez
dostepu potrafi odczytac MACa kogos kto ma dostep, wtedy przypisuje sobie
jego MACa i jego IP i juz. Tworzy sie wtedy oczywiscie konflikt, bo w
sieci pojawiaja sie dwa kompy z takimy samymi MAC/IP, ale mimo to
"zaawansowany" user bedzie mogl prawdopodobnie dzialac. Ty pewnie
dostaniesz informacje, ze cos jest nie tak, ale zanim dojdziesz kto
podmienil IPke minie troche czasu.

pozdro
-- 
mirek

Reply to:

Follow-Ups:
- Re[2]: mac ...
  - From: Parish <iparish@go2.pl>

References:
- Re: mac ...
  - From: Robert Olejnik <teon@pentagon.eu.org>

Prev by Date: zaproszenie do używania pakietu :)
Next by Date: Re: zaproszenie do używania pakietu :)
Previous by thread: Re: mac ...
Next by thread: Re[2]: mac ...
Index(es):
- Date
- Thread