ADSL router -> Slack router -> dva nezavisle sitove bloky

Lubos Moscovic herrman na herrman.sk
Neděle Listopad 20 14:04:00 CET 2005


Jan Houstek wrote:

> Jiri Kosina wrote:
>
>> Ano, jedna moznost je vypnuti arp protokolu na dane sitovce a
>> vytvoreni ARP tabulky rucne pomoci prikazu arp.
>>
>> Druha moznost je udelat v iptables parovano [ip, mac] a packety
>> nesplnujici toto parovani zahazovat.
>>
>> Tim se problem ovsem uplne nevyresil, ale jen posunul nekam jinam -
>> ted si uzivatel muze spolecne s IP adresou zmenit i MAC adresu na
>> adresu nejake stanice ktera aktualne nebezi ...
>
>
> Pokud chcete mit opravdu dobre pojistene, ze v LAN komunikuji jen a
> pouze ty stroje, ktere tam maji co pohledavat, neobejde se to bez
> inteligentniho switche, ktery umi minimalne alespon (a pripadne
> blokovat) MAC adresy na nejakych portech, v lepsim pripade zvlada i
> neco jako 802.1x.
>
> S nemanageovatelnym switchem je zcela mimo vasi kontrolu, co zlocinec
> pacha v ramci LAN, a velmi blbe ho budete na routeru odlisovat od
> legitimnich zarizeni, pokud jim ukradne MAC i IP.
>
> -- Honza Houstek
>
>
Zdravim.
Teraz len budem nahlas rozmyslat, cize to teda aj berte trochu s rezervou...
Keby sme danu situaciu predsa len chceli nejako podomacky riesit len za
pomoci daneho naradia, ktore bolo spominane (teda ziaden inteligentny
switch ani nic podobne), nedala by sa zbuchat webova aplikacia, co by
bezala na danom routri, ktora by odblokovala spojenie do internetu danej
masine, len za predpokladu zadania spravneho mena a hesla? Ak by to aj
slo (vazne len nahlas rozmyslam, nikdy som to neskusal) vyvstala by
otazka kedy to spojenie opat zakazat... timeout na neaktivitu?, resp.
opat cez webrozhranie a kliknut na zrus spojenie?...
Vazne neviem, ci je take nieco mozne, je to len napad. :-)

So sudruzskym pozdravom
Lubos "herrman" Moscovic
HOWG


Další informace o konferenci Linux