Re: [OT] Zabezpieczenie ip gatewaya
> Nie jestem za bardzo w temacie, bo usunąłem już część topika. Rozumiem,
> że chodzi o przypisanie komputerom adresów ip, i pilnowaniu czy
> przypadkiem ich sobie nie zmieniają, tak? Ja robiłem to w taki sposób:
>
> Używałem DHCP. Interfejsy dostają stałe IP. Skrypt nasłuchuje ruchu
> (tcpdump) na interfejsie wewnętrznym gatewaya, i sprawdza czy wszystko
> się zgadza (tzn. pary MAC+IP). Jeżeli nie, to po którymś pakiecie wysyła
> e-maila gościowi, mi, i generuje regułkę dla iptables (blokuje dany MAC
> na jakiś określony czas - 1 minuta). Po upływie minuty blokada jest
> zdejmowana. Maile nie są wysyłane częściej jak jeden e-mail na 24h do
> człowieka, i 1 na 1h do mnie.
Nie używam DHCP, to co proponujesz odcina gościowi dostęp do gatewaya.
W sytuacji podszycia się pod adres wewn. interfejsu gatewaya wszystkie pakiety
od userów są wysyłane do podszywającego się. Skutkuje to tym, że nikt
nie ma dostępu do sieci. To taki DoS. Pojawiła się sugestia dynamicznej
zmiany adresu bramki. Jest to jakieś rozwązanie (teoretycznie). Ale ma
pewne wady. Np. możliwość ataku man-in-the-middle. Wystarczy
przekierowywać pakiety na aktualny adres gw. Facet ma dostęp do całego
ruchu w sieci ZANIM DHCP odświeży adres gw w innych kompach. Do tablicy
arp na gw nie wpiszesz na sztywno adresu lokalnego interfejsu. Popraw
mnie jeśli się mylę. Nie jestem pewien, czy przypadkiem zmiana adresu
przez DHCP w Windozach nie odbywa się po restarcie kompa. Proszę o
korektę, jeśli napisałem coś niezgodnego z prawdą.
Pozdrawiam
Barthoosh
Reply to: