DHCP + firewall - trochu OT

Ivo (Medved) Hanuska ihanuska na ip-sec.cz
Středa Prosinec 8 18:48:22 CET 2004 

> Jan Satko wrote:
>
>>2. potrebujem zabezpecit, aby si uzivatel nemohol zmenit ip-adresu
>>(prestalo by mu to slapat).
>>
> Takze sice ma dostat dynamickou ip, ale nesmi si ji sam zmenit?
> V tom pripade jiz rozumim vasemu dotazu...

V tomto případě rozumím požadavku. Není to o tom, aby uživatel dostal 
dynamickou adresu, kterou si pak nemůže změnit, ale aby se člověk, 
přicházející do firmy s notebookem nemohl připojit bez autorizace k firemní 
síti. Pokud nedostane od DHCP adresu (protože jeho MAC není v seznamu 
povolených), nedostane se do sítě.

Můžete namítnout, že si může MAC adresu změnit, ale to už tuplem bude 
podezdřelé, protože minimálně to vyvolá poplach na IDS, začne řvát uživatel, 
nebo server, kterému byla adresa zcizena a pod.

Já pracuju ve firmě, která má po světě cca 7500 počítačů. Z nich je asi 500 
počítačů lidí, kteří cestují mezi fabrikama. Takže zbývá jedna možnost. 
Vyhradit zásuvky, kam se mohou připojit všichni a mít je pod dohledem (což 
je iluzorní) a nebo nějak limitovat všechny než registrované MAC adesy.

Navíc je v té rozsáhlé síti zajistit proxy pro internet a interní webové 
služby. Každá fabrika má svou proxy, Ty jsou autentifikované podle firemního 
LDAPu, ale je potřeba počítači říct, že má používat specifickou proxy. A 
nebo udělat proxy transparentně.

Bohužel to není jenom nedostatečnost vazby DHCP na FW, ale na spoustu 
dalších služeb (mapování tiskáren např.....).

Na tuto otázku jsem tu hledal minule odpověď a jaksi se mi jí nedostalo. 
Nebo lhal bych - dostalo, ale ta odpověď mne moc neuspokojila.
Jenom mne mate, že řešení musí někde být. Třeba v Acess Pointech pro WiFi 
sítě. Tan snad existují whitelisty povolených MAC adres, ne?

>
>>3. Toto vsetko  chcem to z toho dovodu, ze ked pride povedzme za 2 dni
>>hlaska ze z tej IPadresy bol robeny bordel, tak aby som vedel
>>spatne zistit, kto to bol.
>>
> Toto muzete zjistit z logu. Z toho vyplyva, ze spojit pozadavky 2 a 3 muze
> i nejaky skript, ktery nacita log, zjistuje, jake mac byla pridelena jaka 
> ip
> a tuto dvojici pak nasledne povoli v iptables. Otazka je, jak dlouho ji 
> nechat
> povolenou - zrejme podle nastaveni default-lease-time a max-lease-time
> v dhcp serveru. Pokud toto resi jiz nejaky hotovy soft, tim lepe.

Pěkné, ale pověkud složité řešení. To bych nebral.

Dík,

Ivo Hanuška

Další informace o konferenci Linux