arp (Re: Bezpecnost za firewallem)

Petr Novotny Petr.Novotny na antek.cz
Čtvrtek Březen 16 14:10:02 CET 2000 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 16 Mar 00, at 13:47, Igor Kilian wrote:
> Ja previazanost IP s HW adresou som pouzival
> hlavne pre NFS klientov. Povolil som par masinam pripojenie pomocou
> NFS a aby som si bol isty ze pod tou istou IP sa niekedy niekto
> nepokusi citat z NFS tak som dal permanentne nahravky do arp tabulky.
> Tymto sa nezabrani aby si iny uzivatel zvolil ty danu IP adresu, ale
> zabrani sa jeho spojeniu na vas pocitac. Spojit sa moze jedine vtedy
> ak IP aj HW adresa suhlasi.

To je security through obscurity - pokud nemate inteligentni a 
dobre zajistene (i fyzicky) switche.
1. Odeslat paket s jinou hw (MAC) zdrojovou adresou umim.
2. Prepnout sitovku do promiskuitniho rezimu a prijimat paket s 
jinou hw (MAC) cilovou adresou umim.
3. Takze mi zbyva jen zajistit, ze (pokud mozno) stroj, ze nejz se 
vydavam, je zrovna vypnuty (anebo ho treba nejak zahltit)
4. a zjistit jeho MAC (pokud ten stroj komunikuje pres IP, je to 
trivialni - proste ho pingnu a podivam se do arp tabulky).

Jedine, co pomuze, je na switchich nastavit MAC adresy natvrdo.

(Ted ponechavam stranou to, ze si z toho NFS-klienta vymontuju 
sitovku, dam na chvili k sobe do stroje, a pripojim se na stejnem 
segmentu - pak vam nepomuze ani svecena voda a potrebujete 
nejakou robustni autentifikaci.)


Obecne bych rekl, ze na urovni arp (ci IP) toho timto smerem moc 
nezajistite. Je potreba prejit na nejaky model s robustni 
autentifikaci, firewallem, a autentifikaci do proxy aplikaci (squid, 
socks5 atd.).

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBONDPG1MwP8g7qbw/EQKiJQCeNxtP11VSibG76kztArlfTkaEHsAAoNhf
II1uemJ80CKUEDdSVcPJlEjG
=w4UR
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux