Bezpecnost za firewallem
Igor Kilian
igor.kilian na infogas.sk
Středa Březen 15 08:17:11 CET 2000
Dňa St, 15 mar 2000 ste napísali:
> Mam pro vas namet k diskuzi, predstavte si ze existuje jokalni sit za
> linuxovym firewallem s asi stovkou silne neukaznenych uzivatelu pouzivajich
> windows95/98. sit je ethernet 10mbps. problemem vidim v tom jak donutit
> uzivatele aby pouzivali pridelenou ip adresu a ne jakoukoliv jinou. Zejmena
> pak aby se jeden nevydaval za jineho. ip asi je vec nastaveni klienta ve win
> 95 a ne zasuvek. co s tim. Vim ze pod novelem byl kdysi parametr ktery
> vypsal cosi jako seriove cislo sitove karty (unikatni pro kazdy jeden kus) a
> to pak slo otestovat trebas nejakym servrem. Mozna je to hloupy a naivni
> dotaz nekamenujte me proto ale predem dekuju za sofistikovane rady a pomoc.
> Tesim se na hromady napadu jak tu identifikaci pocitacu vyresit.
Co sa tyka adresy karty tak prave ta je jedinecna v celej sieti internet. Jedna
sa o tzv. MAC adresu niekedy nazyvanu aj ako Hardwareova adresa karty. Jej
cislo je tvorene z hexadecimalneho cisla. Zaciatok urcuje vyrobcu zostatok
jeho poradove cislo. Tato adresa musi byt jedinecna. Cize nikde na svete
nesmie existovat sietova karta s tou istou MAC adresou. IP vrstva (to znaci
cislovanie napr. 10.10.10.10) je len pre nas aby boli siete lepsie rozdelitelne
a oznacitelne. DNS (+reverzne DNS) je na to ze ludom by sa blbo pamatali cisla
takze ich konvertuje do nazvov a opacne. Cize postup pri komunikacii je zhruba:
1, napise clovek napr. ping linux.firma.sk
2, DNS vyhlada spravne IP co patri k danemu pocitacu
3, posle paket na danu IP a ked dorazi do siete na segment kde je pocitac tam
si zisti MAC adresu (vacsinou ju pozna switch) co patri k IP a posle paket.
Previazanost IP adries a MAC adries je v arp tabulke. Staci napisat "arp -a"
na jej vypisanie. Da sa spravit priame previazanie IP adresy z MAC adresou
prave v arp tabulke. Tym padom sa pod danou IP adresou neprihlasi nik iny ako
ten co ma danu kartu. Ak clovek chce vediet MAC cislo svojej karty da sa to
zistit pomocou "ifconfig". Ide o polozku "HWaddr".
Ja viem ze to vysvetlenie je trochu pritiahnute za vlasy, ale na presny vyklad
je literatura a ta je dost obsiahla. Ospravedlnujem sa vsetkym co s tym
nesuhlasia.
Igor
=========================================
Ing. Igor KILIAN
InfoGas a.s., Kozia 17
815 37 Bratislava, Slovakia
tel.: +421 7 58692159
mailto:igor.kilian na infogas.sk
Další informace o konferenci Linux