Re: [OT]Blokowanie nieplacacych userow

To: debian-user-polish@lists.debian.org
Subject: Re: [OT]Blokowanie nieplacacych userow
From: Grzegorz Kusnierz <koniu@bezkitu.com>
Date: Sat, 30 Aug 2003 11:40:52 +0200
Message-id: <[🔎] 20030830094052.GA10585@august.v-lo.krakow.pl>
Mail-followup-to: Grzegorz Kusnierz <koniu@bezkitu.com>, debian-user-polish@lists.debian.org
In-reply-to: <[🔎] 20030829214613.GA30973@borek.sytes.net>
References: <[🔎] 20030828100556.GA21430@borek.sytes.net> <[🔎] 200308281231.32352.piotr@potargowicz.one.pl> <[🔎] 005401c36dd5$379a8140$0501a8c0@maciekpc> <[🔎] 20030829214613.GA30973@borek.sytes.net>

On Fri, Aug 29, 2003 at 11:46:13PM +0200, Roman Kalukiewicz wrote:
> > ps. ja wycinam po iptables i mac
>
> Jak do tego sie jeszcze dolozy DROP reszty ruchu i ciachanie po MAC
> to sa bez szans.
> 
> No i tego chyba tak latwo nie obleza :]

<fragment dla wszystkich>
Nie bylbym taki pewny - MACa mozna swobodnie zmienic i nawet jesli
filtrujesz wszystkie 'nielegalne' pary MAC<->IP, to taki juzer moze
zawsze przypisac sobie pare nalezaca do innego (placacego) uzytkownika.

<fragment dla nieplacacych;>
Oczywiscie pojawia sie problem gdy uzytkownik od ktorego 'pozyczony' jest
adres wlaczy swoj komputer i w sieci beda 2 karty z tym samym IP oraz MAC.
W zapanowaniu nad tak taka sytuacja pomoze 'kradziejowi' prosty programik 
sluchajacy za pakietami przychodzacymi z zewnatrz, a posiadajacymi ten sam
MAC i src-IP co 'jego'. 

pelny koncept dla nieplacacych (mozliwy do zrealizowania _nie tylko_ pod linuxem):

narzedzia:
a) lista 'legalnych' (przepuszczanych przez router) par adresow MAC<->IP
   nalezacych do innych uzytkownikow sieci
b) skrypt, ktory pinguje kolejne hosty z ww. listy i zmienia ustawienia
   interfejsu na pierwsza napotkana wylaczona (nieodpowiadajaca na pingi)
   pare MAC<->IP
c) program, ktory nasluchuje na 'kradzionym' interfejsie w oczekiwaniu na
   pakiety przychodzace z zewnatrz a posiadajace takie same adresy (src-IP, 
   MAC)

schemat:
1) odpalamy program (c)
2) odpalamy skrypt (b) i cieszymy sie dostepem do internetu
3) kiedy program (c) wykryje, ze uzytkownik od ktorego pozyczylismy IP<->MAC
   wlaczyl komputer odpala skrypt (b) [i tak w kolko :-]

uwaga:
czeste zmienianie IP oczywiscie powoduje zrywanie polaczen tudziez inne 
rewelacje, ale na dluzsza mete da sie z tego korzystac (darowanemu koniowi...)

<fragment dla adminow i zbyt optymistycznych nieplacacych>

Wszystkie metody programowe przy typowym schemacie sieci (klienci <-> prosty
switch <-> router <-> internet) sa mozliwe do obejscia.

Na wszystko jednak znajdzie sie metoda:
- fizycznie odlaczamy typa od huba/switcha/routera (co jest z oczywistych
  wzgledow niewygodne)
- inwestujemy w switcha, w ktorym mozna na sztywno przypisac jaki adres
  nalezy sie ktoremu fizycznemu gniazdku

Czy cos pominalem, przeoczylem, przecenilem?

gk

-- 
 _______________________________________________________
|                                                      /)/)
|   Grzegorz Kusnierz  |  GG: 1799993             |   ( xx\
|  konik@konik.one.pl  |  http://www.bezkitu.com  |   /'-._)     
|   koniu@bezkitu.com  |  * radio * bez * kitu *  |  /#/  U
 \__________________________________________________/#/

Reply to:

References:
- [OT]Blokowanie nieplacacych userow
  - From: Roman Kalukiewicz <romkal@borek.sytes.net>
- Re: [OT]Blokowanie nieplacacych userow
  - From: Piotr Potargowicz <piotr@potargowicz.one.pl>
- Re: [OT]Blokowanie nieplacacych userow
  - From: "Maciek Matwiejszyn" <maciek@limac.gda.pl>
- Re: [OT]Blokowanie nieplacacych userow
  - From: Roman Kalukiewicz <romkal@borek.sytes.net>

Prev by Date: Re: adduser
Next by Date: fonty ??
Previous by thread: Re: [OT]Blokowanie nieplacacych userow
Next by thread: Re: [OT]Blokowanie nieplacacych userow
Index(es):
- Date
- Thread