Author |
Message |
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 17.01.2008 - 11:56 #60762
|
|
Ucen
Joined: Sep 06, 2004
Posts: 684
Location: hranica s ukrajinou...
|
|
lol wrote: ›Preco to riesite tak zlozito? Krajsie riesenie je staticka ARP tabulka a nezatazuje to zbytocne CPU tolkymi FW pravidlami
prosimta mozes mi to rozpisat podrobnejsie? takze ked si vytvorim ARP tabulku tam mi to posluzi aj pre DHCP server? |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 17.01.2008 - 23:40 #60798
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
Staticky ARP ani iptables riesenie nepomoze ked si uzivatel zmeni IP aj MAC. To znamena ze nejde o totalneho lamera, ktory vie zmenit IP ale uz nevie spravit 2 kliky naviac aby zmenil aj MAC. navyse takuto zmenu nie je ani realne mozne zistit (ked si uzivatel da pozor).
Jedine ucinne riesenie je pouzit 802.1X na switchoch, pokial uzivatel nezada spravne meno a heslo a nema spravnu MAC tak ho switch nepripoji na fyzickej vrstve - je to totozne s vytiahnutim kablu Toto uz je ovela tazsi oriesok na prekonanie. |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 17.01.2008 - 23:49 #60799
|
|
|
ale zober si situaciu, kde je klient pripojeny napr cez RTL8186 (5460 a i), ktore prepisuju MAC a user nema pristup k jeho administracii... takze on si na lokalke moze menit IP aj MAC kolko len chce, ked router ho stale vidi pod rovankou MAC ale inou IP, takze ho dropne. |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 18.01.2008 - 00:23 #60800
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
ano, mas pravdu myslel som skor na switche.
Pokial user nema pristup na AP u seba a toto AP prepisuje MAC tak si MAC vlastne (voci sieti) nemoze zmenit aj ked ju zmeni AP mu ju prepise na tu istu. |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 18.01.2008 - 09:28 #60804
|
|
Ucen
Joined: Apr 12, 2006
Posts: 930
Location: Vranov nad Topľou
|
|
Mno, dobre riesenia, vsetko oka, podporucam doinstalovat arpwatch , krasne si ho nastavit , zapisat si vlastnu databazu meno zakaznika, hostname, ip, mac . Pokial nastane neaka zmena, tak to krasne zapise do /var/log/daemon.log , existuje k tomu aj arpwatch2html, resp jeho cgi verzia, do ktorej je mozne zapisovat ip , mac, meno uzivatela, hostname z web interface a ihned mate jasno,kto co poraba na sieti, nehovoriac o tom ,ze s pouzitim maleho skriptiku ( u mna 6 riadkov ) si uzivatela, ktoreho arpwatch oznaci presmerujes cez iptables na neaky port s hlaskou, ze si zmenil ip, alebo mac a nech ta kontaktuje.
Zacinam sa zase venovat vyvoju doteraz kua som fakt nic nestihal |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 18.01.2008 - 09:58 #60806
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
icerowicz: a ako riesis pristupy na klasickom nemanazovatelnom switchi (90% ludi vo vacsich sietach je pripojenych takto), ked si userko na "dratovom" pristupe zmeni IP a zaroven aj MAC na inu (spravnu) kombinaciu ? v tom pripade ARPWATCH nema sancu nic zistit. Odhali iba lamerov ktori ako som pisal vyssie nevedia spravit o 2 kliky mysou viac
Ak mas na toto recept tak porad, usetris tym prachy za vymenu switchov za manazovatelne a navyse s podporou 802.1X, co tie lacnejsie nemaju. |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 18.01.2008 - 13:48 #60817
|
|
Ucen
Joined: Apr 12, 2006
Posts: 930
Location: Vranov nad Topľou
|
|
eXplorer wrote: ›icerowicz: a ako riesis pristupy na klasickom nemanazovatelnom switchi (90% ludi vo vacsich sietach je pripojenych takto), ked si userko na "dratovom" pristupe zmeni IP a zaroven aj MAC na inu (spravnu) kombinaciu ? v tom pripade ARPWATCH nema sancu nic zistit. Odhali iba lamerov ktori ako som pisal vyssie nevedia spravit o 2 kliky mysou viac
Ak mas na toto recept tak porad, usetris tym prachy za vymenu switchov za manazovatelne a navyse s podporou 802.1X, co tie lacnejsie nemaju.
Jednoducho. Kedze sme zacali robit bytovky az pred nedavnom, musel som riesit tuto otazku tak isto. Kedze manazovatelne switche su drahe ako hovado, zriesili sme to tak, ze zakaznici od nas dostavaju jednoduchy 4lan+1wan port router, na ktorom ma spustene vlastne dhcp. Router je zaheslovany a konfigurovany pevnymi ip adresami. Ten je dalej napojeny do nemanazovatelneho switcha na poschodi ( 100mbit ) , ktory je pripojeny na hlavny nemanazovatelny switch ( gigabit ) a nasledne prepojeny s GW s gigabit sietovkou. |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 18.01.2008 - 15:15 #60820
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
icerowicz: a ked ten userko router "jednoducho" odpoji a pripoji tam svoj PC ? Ked uz dokaze zmenit MAC tak toto zvladne tiez, v takomto postupe mu nic nebrani, pokial budes security riesit na strane uzivatela tak toho vela nevyriesis. Pri WIFI je to ine pokial mas nejaku enkrypciu, MAC filter a hidden SSID.
Uzivatelov ktori si IP/MAC menit nechcu alebo nevedia, riesit nepotrebujes a tych ostatnych takto nevyriesis - mozes mat akurat falosny pocit ze je to vyriesene ale nie je ... zbytocne vyhodene prachy na routre. Nechcem sa hadat, ale je to tak. |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 18.01.2008 - 15:43 #60823
|
|
|
a co takto na tom user-routry hodit napr PPPoE a userkovi to nepovedat, ked si pichne kabel do PC, tak mu to nepojde, lebo nebude vediet ze ma spravit nejaky PPPoE. to ma teraz iba tak napadlo. |
|
|
|
|
|
|
Post subject: RE: Kontrola mac vs ip adresa
Posted: 18.01.2008 - 15:50 #60824
|
|
Ucen
Joined: Jan 15, 2005
Posts: 768
|
|
To mozes hned dat do kazdej bytovky jeden router na ktorom pojde PPPoE server. Alebo kazdu bytovku si natiahnut VLANom po bridzovanej chrbtici a spravit nejaky uzol, kde sa ti VLANy stretnu v jednom routri na ktorom pobezi PPPoE server....
Takto sa ti nejaky lamer dostane len do LANky v jeho bytovke, do bytovky vedla sa uz bez PPPoE autentifikacie nedostane .... |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |