Potrebuju na igw overit jestli ip adresa sedi s mac adresou a jestli je povolena.
Vse je naprosto trivialni v lokalnim subnetu pres iptables, ale
problem nastava v pripade ze paket jde pres nejaky router, tj. je z jineho subnetu. Tim padem nese macadresu routeru cimz se stavava nepouzitelny. Jediny reseni co mam je ze proste povolim ipcko uzivatele a mac routru pres ktery to jde. Funguje to sice, ale ma to hacke v tom, ze pokud dany router neni zabezpecen, tak jakykoliv cizinec ktery si nastavi ip stejnou jako povoleny uzivatel a jako gw router tak jede a iGw nic nepozna. Pravda je to mozna az prilis velka schiza, protoze i mac si muze zmenit, ale proste me to zajima jestli to nejak jde udelat aby prolezl i ten mac ty sitofky.
no tak to by zaujimamlo aj mna ci sa to da aby sa preniesla aj MAC tej sietovky povodne dalej po rutovani ...
ja to riesim tak ze kontrolujem mac+ip na vstupnom bode teda napr. na rozhrani vsesmerovej anteny a tam je to obmedzene...
u teba asi ti kontrolovat na tom stroji kde sa to rutuje a meni tu mac adresu ... tam povolit rutovat iba IP s danou mac adresou - ale to ta uz urcite napadlo ...
no prave ze to nejde takhle kontrolovat. Sit je verejna a nechci tam cokoliv takovyho zavadet. Je mi to prosti srsti. Potreboval bych to delat az na iGW.
Me napadlo ze by to slo delat pres VPNko, ale to uz zase neni nativni pristup.
Achjo.
Jedina moznost jak overit identitu paketu prichazejicich na igw je pouziti nejakeho sifrovaneho tunelu (vpn) a overovat totoznost na zaklade privatiho a verejneho klice. Mozna by slo pouzit i IPsec.
Bohuzel s nicim takovym nemam prakticke zkusenosti, tak moc neporadim.
mam takovej dojem, ze iptables by to mohly vyresit... myslim, ze v patch-o-matic je jedna z moznosti porovnani paru IP-MAC a pokud nahodou nesouhlasi, tak se aplikuje libovolne pravidlo (DROP :P ). na HW routery se to samozrejme pouzit neda...
-aquarius
EDIT: jo a samozrejme se to musi udelat na routeru, igw to nezvladne...
no siet ako pises je verejna .....
hmm ale ak to neobmedzis na tom pristupovom bode tak
to teda znamena ze sa moze prihlasit kazdy kto vie par udajov (IP + ssid + gw )
a sice nepojde na net igw ho nepusti, ale moze po sieti chodit a robit dost aj nekale veci ...
ak teda to dobre chapem ....
no teraz ma napada ze cesta by mohla byt ta ze sa pakety budu podla IP markovat a ako mark sa im da MAC adresa a potom sa to na igw bude nejako kontrolovat ... ale to asi placam blbosti ....l
ale prave ze jste me vubec nepochopili.
Chci mit sit porad verejnou, ale akorat zamezit nezadoucimu pruniku do internetu pres iGW.
Jako jediny realny reseni je bud VPNko a nebo NoCatAuth. To VPNko je asi nejbezpecnejsi, ale bohuzel je to trosku nekomfortni.
Ta hlaska to s tim z bude znat essid a gw + ip a pripoji se je sice fakt, ale hoodne rychle se na to pride, nebot se pripoji pouze na ip, ktera uz musi byt v seznamu povolenych na iGW.
A jeste me napad treti zpusob na kterym momentalne delam a to jest:
mala aplikace, neco na styl radiusu, ale spis takovej postradius.
BFU pusti widle, nabehne utilitka a ta se nahlasi na iGW, tady uzivatel xxxyyy a mam takovouhle ip, moje heslo je tohleatohle. iGW prijme, zpracuje a rekne si aha to je venca, heslo sedi, tak pro tuhle ip povolim pristup na inet. Vencu internet omrzi, vypne comp a iGW zjisti, aha... venca uz tu neni....tak tu ip zase zakazu. A cracker ma po prdeli... KOmunikace bude sifrovana, neustale pobezi s iGW a iGW bude otukavat jestli je tam porad jeste ten Venca.
Vyhoda tohodletoho je,ze to muze bezet pres xxx routru a je to fuk.(radius se musi delatna vsech apckach a kazdy uzivatel kterej by byl pripojenej by musel mt inet, jinak by to bylo potencialni zlodej inetu.)
20.08.2003 v 18:18
