ADSL router -> Slack router -> dva nezavisle sitove bloky
Jan Houstek
Jan.Houstek na mff.cuni.cz
Neděle Listopad 20 13:14:27 CET 2005
Jiri Kosina wrote:
> Ano, jedna moznost je vypnuti arp protokolu na dane sitovce a vytvoreni
> ARP tabulky rucne pomoci prikazu arp.
>
> Druha moznost je udelat v iptables parovano [ip, mac] a packety
> nesplnujici toto parovani zahazovat.
>
> Tim se problem ovsem uplne nevyresil, ale jen posunul nekam jinam - ted si
> uzivatel muze spolecne s IP adresou zmenit i MAC adresu na adresu nejake
> stanice ktera aktualne nebezi ...
Pokud chcete mit opravdu dobre pojistene, ze v LAN komunikuji jen a
pouze ty stroje, ktere tam maji co pohledavat, neobejde se to bez
inteligentniho switche, ktery umi minimalne alespon (a pripadne
blokovat) MAC adresy na nejakych portech, v lepsim pripade zvlada i neco
jako 802.1x.
S nemanageovatelnym switchem je zcela mimo vasi kontrolu, co zlocinec
pacha v ramci LAN, a velmi blbe ho budete na routeru odlisovat od
legitimnich zarizeni, pokud jim ukradne MAC i IP.
-- Honza Houstek
Další informace o konferenci Linux