IPtables a filtrovani podle MAC adres

[benghi]

Dobrá myšlenka, ale osobně si myslím, že prvky sítě stačí nastavit
staticky, tím lze determinovat z kterého počítače příslušná data pochází
a identifikace uživatele je stejně aplikační záležitost. Jde o to, že to
zvýší ceny všech prvků sítě. Princip se serverem na přihlašování
uživatelů se mi nelíbí už proto, že jeho porucha odrovná celou síť, což
může být velký problém. 

V principu na toto stačí, aby každý switch byl _ručně_ nastavitelný a
nevyráběl si svoje tabulky sám, ve všech routerech stačí zakázat ARP a
ARP tabulku vyrobit ručně a věc je hotová. Má to bohužel háček. Pokud by
síť měla obsahovat i nějaké switche, je nutné zakázat na _všech_ prvcích
sítě ARP, včetně klientských počítačů a ručně zavést ARP záznam
nejbližšího routeru a udělat z něj defaultní gateway s tím, že přes něj
půjde úplně všechno, což imho není dobrý nápad z hlediska výkonu sítě. 

Myslím, že je to celé paranoidně přehnané. IMHO stačí síť rozdělit do
nějakých oblastí, které si budou navzájem důvěřovat a následně na úrovni
routeru řešit, jaký packet může z ktereho interface přijít (filtrace na
úrovní IP) a o MAC adresu se už vůbec nemusím starat, protože to, že IP
adresa odesilatele zapadá do nějakého rozsahu mi přímo určuje po kterém
drátu to přišlo. No a když tam někdo odešle packet s IP, která nezapadá
do rozsahu, tak ho první router zahodí. Je to sice krapet drahé řešení
(router s firewallem), ale dobře fungující. 

On Tue, 25 May 2004 19:03:20 GMT
Jakub Jirků <jsem na sosacek.org> wrote:

> K tomu falsovani adres, at uz ip nebo mac:
> 
> Teoreticky zabezpecena sit by mohla vypadat tak, ze na prepinacich
> bude z neregistrovanych adres povolena komunikace jenom s jednim bodem
> site. Ten bod bude nejaky server. Ten jakmile se do nej nekdo prihlasi
> (pomoci specialni aplikace, se sifrovanym spojenim napsane treba v
> jave aby to slo spustit na cemkoliv) tak vygeneruje pravidla pro
> firewall s napevno nastavenou ip a mac adresou a prenastavi prepinace
> (a jine prvky site) aby umoznily komunikaci pri spravne kombinaci
> port/mac/ip.
> 
> Dokud bude prihlasovaci aplikace bezet, bude udrzovat tcp spojeni se
> serverem. Jakmile se spojeni prerusi, server okamzite vyrazi adresu ze
> seznamu povolenych.
> 
> Ve vysledku se nepujde pripojit do site bez prihlaseni (pokud se
> budete chtit dopinknout, ale koneckoncu i doarpnout jinam nez na ten
> server) a jakakoli manipulace se siti bude doplnena jmenem todo kdo to
> udelal.
> 
> Napadaji nekoho nejake nevyhody tohoto konceptu, kdyz nepocitam cenu?
> :)
> 
> A pokud to chcete jednoduseji, openbsd pry umi menit pravidla
> firewallu podle prihlasenych uzivatelu, mit otevreny forwarding pro ip
> ze ktere je pripojen dokud je aktivni ssh sesna a jakmile umre tak
> odstrihnout spojeni. A uzivatel by svoje jmeno a heslo pujcovat nemel.
> 
> Obavam se ze tohle pujde mimo thread, protoze neodpovidam do nej
> (smazal jsem si vsechny zpravy z nej :) ) ale to snad nevadi.
> 
> -- 
> Jakub Jirků <jsem na sosacek.org>
>