ADSL router -> Slack router -> dva nezavisle sitove bloky

Jan Houstek Jan.Houstek na mff.cuni.cz
Neděle Listopad 20 13:14:27 CET 2005


Jiri Kosina wrote:
> Ano, jedna moznost je vypnuti arp protokolu na dane sitovce a vytvoreni 
> ARP tabulky rucne pomoci prikazu arp.
> 
> Druha moznost je udelat v iptables parovano [ip, mac] a packety 
> nesplnujici toto parovani zahazovat.
> 
> Tim se problem ovsem uplne nevyresil, ale jen posunul nekam jinam - ted si 
> uzivatel muze spolecne s IP adresou zmenit i MAC adresu na adresu nejake 
> stanice ktera aktualne nebezi ...

Pokud chcete mit opravdu dobre pojistene, ze v LAN komunikuji jen a 
pouze ty stroje, ktere tam maji co pohledavat, neobejde se to bez 
inteligentniho switche, ktery umi minimalne alespon (a pripadne 
blokovat) MAC adresy na nejakych portech, v lepsim pripade zvlada i neco 
jako 802.1x.

S nemanageovatelnym switchem je zcela mimo vasi kontrolu, co zlocinec 
pacha v ramci LAN, a velmi blbe ho budete na routeru odlisovat od 
legitimnich zarizeni, pokud jim ukradne MAC i IP.

-- Honza Houstek



Další informace o konferenci Linux