IPtables a filtrovani podle MAC adres

Mirek Petricek mirek na petricek.cz
Úterý Květen 25 19:51:55 CEST 2004 

Michal Koblizek wrote:

>Jirka 'Eagle' Novak napsal(a):
>
>  
>
>>>Diky za kazdou radu, resim to uz docela dlouho a vsechny navody, 
>>>ktere sem cetl, tak v nich bylo
>>>jenom to pravidlo ktere tam mam - ale v mem pripade funkcni jenom 
>>>castecne.
>>>
>>>S pozdravem Michal Koblizek
>>>      
>>>
>>Pres IP adresy. Resil bych to asi tak, ze adresy by prideloval DHCP 
>>server (staticke podle MAC adresy) v kazdem segmentu site. Tim padem 
>>Vy vite, ktera IP adresa nalezi konkretni MAC adrese... atd.
>>
>>Treba nekdo prijde s lepsim napadem, tohle je prvni myslenka...
>>
>>S pozdravem
>>    
>>
>
>Takhle uz to mam "provizorne" uz asi pul roku. Ale pocet uzivatelu 
>pribiva a zmenit si adresu z nepovolene na povolenou muze kazdy, tak sem 
>chtel prejit na neco bezpecnejsiho. Bohuzel nevim jak do budoucna pujde 
>resit firewall na kazdem routeru zvlast. Myslel jsem ze to pujde 
>jednoduse na hlavnim routeru/gatewayi/serveru :-), no ale vypada to spatne.
>Kdyby mel nekdo zkusenosti s provozem takoveto 'roztahane' site a vedel 
>by nejake reseni budu rad kdyz se mi ozve.
>
>  
>
Problem zabezpeceni site nelze resit pomoci jednoduche kontroly IP nebo MAC
adresy. Jak IP adresy, tak i MAC adresy lze falsovat. Menit IP adresu 
umi temer
kazdy, menit MAC adresu jde ve vetsine instalaci Windows stejne snadno, byt
to treba mene lidi vi. V linuxu a jinych systemech na to staci jeden 
prikaz.
Nepomuze vam ani firewall, ani staticke DHCP adresy, ani staticka ARP 
tabulka.

Tento bezpecnostni mechanismus se neda resit na treti vrstve. Je potreba 
pouzit
vyssi vrstvu (autentizace az na urovni proxy serveru) nebo dusledne pouzivat
sofistikovane technologie na vrstve nizsi (L2).

V praxi by to melo vypadat tak, ze switch by mel mit zkonfigurovanou 
ochranu
portue, ktera spociva v tom, ze ke konretnimu portu se muze pripojit 
pouze jedna,
nebo nekolik konkretnich MAC adres. Tim zamezite jejimu falsovani.

Druhym opatrenim je pouziti autentizace 802.1x, kdy se klient pri 
pripojeni do
switche musi prokazat SSL certifikatem (prip. heslem), ktere je overeno na
RADIUS serveru.

Potrebujete sice inteligentnejsi sitovou infrastrukturu, ale ve vysledku 
se to
vyplati - mate bezpecnou sit bez kompromisu.

-- 
/* Miroslav Petricek             mirek na petricek.cz
   UNIS COMPUTERS, spol. s r.o.  Systemovy inzenyr - UNIX
-- http://www.petricek.cz/ ------ ICQ: 56183467 ------

Další informace o konferenci Linux