|
TwojePC.pl © 2001 - 2026
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
Bezpieczeństwo w sieci LAN , kaszpio 30/05/03 10:52
Sprawa wyglada tak: administruje sobie siecia LAN...na chyba 28 kompow...(juz nie wiem ile ich dokladnie jest...:-)..stoi sobie serwerek ktory ma miedzy innymi zaimplementowane DHCP+ARP, dla nie wtajemniczonych tłumacze...Serwer dhcp przydziela kazdemu kompowi w sieci IP po adresie MAC karty sieciowej...dodatkowo...ARP wiaże mi na "sztywno" adresy IP z kartami MAC kart siecowych userow tak aby nikt nie mogl sie pod nikogo podszywac...no i zeby miec pełna kontrole...hehe...takie rozwiązanie wydaje sie byc rewelacyjne ...ale do czasu kiedy w sieci ma sie samych laikow jezeli chodzi o te sprawy.....Za jakis czas mam w planach dolaczyc druga siec do naszej...oczywiscie porzadek musi byc i chcialbym miec nadal pełna kontrole nad wszystkim...Powiedzmy ze w tej nowej sieci znajdzie sie cwaniak, przykladowo taki ktos jak ja...i zmieni sobie adres MAC na kogos w sieci (uzyskanie MAC to pikuś)...i wpisze odpowiadajacu mu IP...no i serwer go wpuszcza wszedzie bez problemu...bo koles ma IP z uprawnieniami...i tu stoje nad problemem jak to rozwiazac...?!? Koledzy maja jakies pomysly?
Nasz dobry kolega holek podpowiedzial mi jedno rozwiazanie ale very kosztowne za XXX $$$$$ mianowicie programowalne switche, ktore przypisuja okreslony MAC do okreslonego portu ...ale jak na razie takie rozwiazanie w sieciach amatorskich sa chyba wykluczone ze wzgledu na koszta...
Co Wy proponujecie aby zabezpieczyc sie jeszcze bardziej i skuteczniej?Toshiba Tecra S11-124 - Nie wiem jakby wygladala , palioza 30/05/03 11:16
realizacja, ale koniecznosc wprowadzenia nazwy uzytkownika i hasla via bezpieczny protokool SSL dopiero odblokowywalby wlasciwy dostep do netu, ale jak mowie, nie mam na razie pomyslu jak to zrealizowac.Uczyń coś idiotoodpornym, a ktoś
stworzy lepszą wersję idioty. - to przeciez nic nie da... , kaszpio 30/05/03 11:22
moze i rozwiazuje problem na innym poziomie...chodzi mi o to...zeby taki jeden jakis baran...nie wpisal se maca identycznego z innym i nie powodowal konfliktow IP itemu podone...;-)
a haslo via ssl przeciez wpisywalbys juz dopiero po tym jak bys dostal ten IP na podstawie mac;-)
Pozdrawiam!Toshiba Tecra S11-124 - Dostaje ip po macu , palioza 30/05/03 11:31
nawet ten "podrobiony", ale dostepu do internetu nie uzyska, faktycznie bedzie mial IP taki jaki nie powinien miec, ale mu to nic nie da.
Imho bez zarzadzalnych switchy, nie da sie tego (o czym mowisz) zrobic.Uczyń coś idiotoodpornym, a ktoś
stworzy lepszą wersję idioty. - hehe... , kaszpio 30/05/03 11:37
wszyscy tylko dostep do neta...;-)
a tu jest jescze poczta na serwerze, dns, dedykowane, www, ftp...itp itd...net to druga sprawa;-)
czyli na razie w kropce jestem...Toshiba Tecra S11-124 - No wiec , palioza 30/05/03 14:08
defaultowo wszyscy maja zabite wszystko na serwerze oprocz przydzielania DHCP. Serwer przydzieli IP, ale odblokuje dopiero jak poda sie prawidlowe haslo ;)Uczyń coś idiotoodpornym, a ktoś
stworzy lepszą wersję idioty. - :) mozesz , mik 30/05/03 15:54
to zademonstrowac na skrypcie ?? Tak serio to nie ma bata na takiego jednego i drugiego chociaz kiedys slyszalem ze mozna by jeszcze po nazwie kompa probowac ale to lipa troche.- W/g mnie , palioza 30/05/03 23:42
tez zawsze da sie obejsc zebezpieczenia (choc ktos znalaz buga w postfixie? :)), ale zadaniem adminow/specow od bezpieczenstwa jest MAKSYMALNIE utrudnic takie dzialanie.Uczyń coś idiotoodpornym, a ktoś
stworzy lepszą wersję idioty.
- no ciekawa sprawa... , kaszpio 30/05/03 19:18
ale wlasnie jak to zaimplementowac...;-)Toshiba Tecra S11-124 - Moja wizja implementacji :) , palioza 30/05/03 23:38
komputer klienta sie wlacza, dostaje ip i dalej:
wersja hard:
postawic demona na jakims porcie (man inetd + man do streamow w linuxie i wszystko jest ok) co do kodowania, to stunnel wystarczy (nie wiem jak jeszcze rozwiazac kwestie kilenta). Poprzez tego demona komunikujesz sie z programem napisanym przez Ciebie w dowolnym jezyku pod windowsa (zeby koncowi uzytkownicy mogli sie logowac). Po zalogowaniu demon modyfikuje firewalla (iptables i tym podobne).
wersja soft: (chyba nawet lepsza)
przy wpisaniu jakiegokoliwek adresu w przegladarce zostaje przekierowany na odpowiedni wirtual w apachu) - iptables + redirect (ipchains itp) tam pojawia sie sliczne okienko logowania (kodowanie juz wbudowane w apacha jako mod_ssl lub osobno stunnel, wiec no problem) po zalogowaniu sie skrypt (cgi, php, whatever) modyfikuje jak wyzej firewalla.
Do obu wersji (zliczajac ruch wychodzacy i przychodzacy) jezeli w ciagu 5 min nie ma zadnego ruchu (gg i inne badziewa generuja jakis ruch, jak nie, to mozesz sztucznie go generowac, w celu sprawdzenia) to nastapi automagicznie wylogowanie. W przypadku wersji hard, mozna sie posluzyc napisanym programem pod windowsa, ktory bedzie odpowiadal na zapytania demona co jakis czas i jak odpowie poprawnie, to czas przedluzony, a jak nie, to na drzewo i wylogowanie.
Mam nadzieje, ze pisalem dosc zrozumiale
(dzialanie takiego demona sprawdzalem przed chwila, nie w tym konkretnym przypadku, ale ogolnie, b. fajnie dziala)
PozdrawiamUczyń coś idiotoodpornym, a ktoś
stworzy lepszą wersję idioty.
- Może sproboj z PPPoE lub jakis serwer radius postaw do autoryzacji , Seba 31/05/03 11:03
12345
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2026, TwojePC.PL |
 |
|
|
|
