[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Zabezpieczenie ip gatewaya



Marek Łaska wrote:
Pewnego dnia (Sunday 18 of May 2003 17:22), niejak(i/a) barthoosh wystukał/a na klawiaturze:
ba>Wygląda na to, że to jedyne sensowne wyjście prowadzi w tą stronę.
Jeśli to ciągle aktualne - skonsultowałem temat z kolegą i coś takiego przed chwilą wpadło nam do głowy - to jest rozwiązanie czysto teoretyczne w tej chwili nic więcej nie mogę zaoferować
Na gateway-u dwa wejścia do LAN-u (nazwijmy je eth1 i eth2)
eth1 z adresem np. 10.0.0.1 pełni rolę adresu gateway-a/dhcp i czego tam chcesz jeszcze... eth2 z jakimś dziwnym, mało normalnym adresem typu: 10.221.72.106 czy coś takiego, na który nikt nie wpadnie, pełni rolę "kontrolera"
1) wszystkie komputery dostają po dhcp od eth1 swoje adresy sieciowe
2) co np 5 min eth2 rozsyła sobie ARP-y i patrzy kto mu odpowiada
a) jeśli dostaje zwrotkę i jest w niej konflikt, adres eth1 jest zmieniany na "awaryjny" i dhcp rozsyła zawiadomienie o nowym adresie, wszyscy którzy mają adres wpisany ręcznie tracą dostęp, jednocześnie admin dostaje np. e-maila, albo sms-a i może działać (czyt. dopaść usera)
  b) nie ma konfliktu - nie robi nic
To jest oczywiście wszystko bardzo steoretyzowane, ale myślę że metoda powinna zadziałać...
Pozdrawiam

Nie jestem za bardzo w temacie, bo usunąłem już część topika. Rozumiem,
że chodzi o przypisanie komputerom adresów ip, i pilnowaniu czy
przypadkiem ich sobie nie zmieniają, tak? Ja robiłem to w taki sposób:

Używałem DHCP. Interfejsy dostają stałe IP. Skrypt nasłuchuje ruchu
(tcpdump) na interfejsie wewnętrznym gatewaya, i sprawdza czy wszystko
się zgadza (tzn. pary MAC+IP). Jeżeli nie, to po którymś pakiecie wysyła
e-maila gościowi, mi, i generuje regułkę dla iptables (blokuje dany MAC
na jakiś określony czas - 1 minuta). Po upływie minuty blokada jest
zdejmowana. Maile nie są wysyłane częściej jak jeden e-mail na 24h do
człowieka, i 1 na 1h do mnie.

Miałem kiedyś problem z człowiekiem, który robił DoS-a innym
użytkownikom zmieniając swój adres MAC, ale szybko go wylookałem na
switchach (niestety niezarządzalnych).

Czy to jest to, o co chodziło?

Pozdrawiam

Leonard Milcin, Jr

--
"Unix IS user friendly... It's just selective about who its friends are."
                                                       -- Tollef Fog Heen



Reply to: