Re: [OT]Blokowanie nieplacacych userow
On Fri, Aug 29, 2003 at 11:46:13PM +0200, Roman Kalukiewicz wrote:
> > ps. ja wycinam po iptables i mac
>
> Jak do tego sie jeszcze dolozy DROP reszty ruchu i ciachanie po MAC
> to sa bez szans.
>
> No i tego chyba tak latwo nie obleza :]
<fragment dla wszystkich>
Nie bylbym taki pewny - MACa mozna swobodnie zmienic i nawet jesli
filtrujesz wszystkie 'nielegalne' pary MAC<->IP, to taki juzer moze
zawsze przypisac sobie pare nalezaca do innego (placacego) uzytkownika.
<fragment dla nieplacacych;>
Oczywiscie pojawia sie problem gdy uzytkownik od ktorego 'pozyczony' jest
adres wlaczy swoj komputer i w sieci beda 2 karty z tym samym IP oraz MAC.
W zapanowaniu nad tak taka sytuacja pomoze 'kradziejowi' prosty programik
sluchajacy za pakietami przychodzacymi z zewnatrz, a posiadajacymi ten sam
MAC i src-IP co 'jego'.
pelny koncept dla nieplacacych (mozliwy do zrealizowania _nie tylko_ pod linuxem):
narzedzia:
a) lista 'legalnych' (przepuszczanych przez router) par adresow MAC<->IP
nalezacych do innych uzytkownikow sieci
b) skrypt, ktory pinguje kolejne hosty z ww. listy i zmienia ustawienia
interfejsu na pierwsza napotkana wylaczona (nieodpowiadajaca na pingi)
pare MAC<->IP
c) program, ktory nasluchuje na 'kradzionym' interfejsie w oczekiwaniu na
pakiety przychodzace z zewnatrz a posiadajace takie same adresy (src-IP,
MAC)
schemat:
1) odpalamy program (c)
2) odpalamy skrypt (b) i cieszymy sie dostepem do internetu
3) kiedy program (c) wykryje, ze uzytkownik od ktorego pozyczylismy IP<->MAC
wlaczyl komputer odpala skrypt (b) [i tak w kolko :-]
uwaga:
czeste zmienianie IP oczywiscie powoduje zrywanie polaczen tudziez inne
rewelacje, ale na dluzsza mete da sie z tego korzystac (darowanemu koniowi...)
<fragment dla adminow i zbyt optymistycznych nieplacacych>
Wszystkie metody programowe przy typowym schemacie sieci (klienci <-> prosty
switch <-> router <-> internet) sa mozliwe do obejscia.
Na wszystko jednak znajdzie sie metoda:
- fizycznie odlaczamy typa od huba/switcha/routera (co jest z oczywistych
wzgledow niewygodne)
- inwestujemy w switcha, w ktorym mozna na sztywno przypisac jaki adres
nalezy sie ktoremu fizycznemu gniazdku
Czy cos pominalem, przeoczylem, przecenilem?
gk
--
_______________________________________________________
| /)/)
| Grzegorz Kusnierz | GG: 1799993 | ( xx\
| konik@konik.one.pl | http://www.bezkitu.com | /'-._)
| koniu@bezkitu.com | * radio * bez * kitu * | /#/ U
\__________________________________________________/#/
Reply to: