Re: [OT] Zabezpieczenie ip gatewaya
Marek Łaska wrote:
Pewnego dnia (Sunday 18 of May 2003 17:22), niejak(i/a) barthoosh wystukał/a
na klawiaturze:
ba>Wygląda na to, że to jedyne sensowne wyjście prowadzi w tą stronę.
Jeśli to ciągle aktualne - skonsultowałem temat z kolegą i coś takiego przed
chwilą wpadło nam do głowy - to jest rozwiązanie czysto teoretyczne w tej
chwili nic więcej nie mogę zaoferować
Na gateway-u dwa wejścia do LAN-u (nazwijmy je eth1 i eth2)
eth1 z adresem np. 10.0.0.1 pełni rolę adresu gateway-a/dhcp i czego tam
chcesz jeszcze...
eth2 z jakimś dziwnym, mało normalnym adresem typu: 10.221.72.106 czy coś
takiego, na który nikt nie wpadnie, pełni rolę "kontrolera"
1) wszystkie komputery dostają po dhcp od eth1 swoje adresy sieciowe
2) co np 5 min eth2 rozsyła sobie ARP-y i patrzy kto mu odpowiada
a) jeśli dostaje zwrotkę i jest w niej konflikt, adres eth1 jest zmieniany
na "awaryjny" i dhcp rozsyła zawiadomienie o nowym adresie, wszyscy którzy
mają adres wpisany ręcznie tracą dostęp, jednocześnie admin dostaje np.
e-maila, albo sms-a i może działać (czyt. dopaść usera)
b) nie ma konfliktu - nie robi nic
To jest oczywiście wszystko bardzo steoretyzowane, ale myślę że metoda powinna
zadziałać...
Pozdrawiam
Nie jestem za bardzo w temacie, bo usunąłem już część topika. Rozumiem,
że chodzi o przypisanie komputerom adresów ip, i pilnowaniu czy
przypadkiem ich sobie nie zmieniają, tak? Ja robiłem to w taki sposób:
Używałem DHCP. Interfejsy dostają stałe IP. Skrypt nasłuchuje ruchu
(tcpdump) na interfejsie wewnętrznym gatewaya, i sprawdza czy wszystko
się zgadza (tzn. pary MAC+IP). Jeżeli nie, to po którymś pakiecie wysyła
e-maila gościowi, mi, i generuje regułkę dla iptables (blokuje dany MAC
na jakiś określony czas - 1 minuta). Po upływie minuty blokada jest
zdejmowana. Maile nie są wysyłane częściej jak jeden e-mail na 24h do
człowieka, i 1 na 1h do mnie.
Miałem kiedyś problem z człowiekiem, który robił DoS-a innym
użytkownikom zmieniając swój adres MAC, ale szybko go wylookałem na
switchach (niestety niezarządzalnych).
Czy to jest to, o co chodziło?
Pozdrawiam
Leonard Milcin, Jr
--
"Unix IS user friendly... It's just selective about who its friends are."
-- Tollef Fog Heen
Reply to: