Vsem moc diky za prinosne rady a pripominky! J. ----- Original Message ----- From: "Dan Lukes" <[EMAIL PROTECTED]> To: "FreeBSD mailing list" <users-l@freebsd.cz> Sent: Tuesday, January 08, 2008 7:53 PM Subject: Re: Kontrola paru MAC-IP
> Jaroslav Juha napsal/wrote, On 01/08/08 19:08: >>> A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP adresu >>> neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne, jen o >>> zalozku vedle ? >> >> To samozrejme muze, ale musel by si spolu s ni "ukrast" take prislusnou >> MAC, > > Samozrejme. Tu ziska snadno v dobe, kdy pocitac opravnene pouzivajici > danou IP sit skutecne pouziva. Staci na nej pingnout. > >>> Cimz nechci rict, ze je to zabrana zcela k nicemu, ale je treba si >>> uvedomit, ze bez dalsich evidenci/kontrol je celkem snadno prolomitelna. >> >> Rad si necham poradit... Nemam s autentizaci techto smeru prilisne >> zkusenosti... Jak bys to resil Ty? Kerberosem? > > Puvodne to byla, jak uz jsem napsal, staticka ARP (funkcni automaticky) > plus obcasna kontrola toho, ze se opravnena MAC nestehuje nekam kam nema. > > Pote co se nekolikrat stalo, ze doslo ke zneuziti MAC i IP primo ze > spravneho mista (v te mistnosti nebyva jen jeden clovek) jsme presli na > 802.1x autentizaci. > > To ale vyzaduje hardwarovou podporu ze strany switchu. Za switchem je > jako backend RADIUS. > > Navic to klade urcite naroky na uzivatele (musi byt schopni pocitac > nakonfigurovat) coz nemusi byt vzdy mozne. Ale pokdu jde o sit, kde jsou > vsechny pocitace "firemni", pak ty maji jiste sveho centralniho sitoveho > spravce, ktery by je prislusne nastavil. > > Hardwarovou podporu ale potrebujes v kazdem pripade a pokud to tvoje > switch eneumi (nebo dokonce nejde o sit plne switchovanou) pak nejde o > lacinou zalezitost. > >>>> Nene, slo mi o to, ze nekdy by mohla byt potreba, aby se nekde v >>>> prostorech,kde se nikdo nepovolany ke dratum nedostane mohl pripojit >>>> jakykoliv >>>> stroj, > > Pokud ma takova mistnost samostatne pripojeni oddelene od chranene site > pak to mozne je - na tuhle IP sit proste ARP tabulku nenaplnim. > >> musel by se nutne trefit do konkretniho >> paru IP a k ni prislusne MAC (muze si je samozrejme odchytit, ale >> rekneme, >> ze se nepredpoklada, ze by pracovnici byli natolik znali...) > > Neni potreba aby "pracovnici" staci jeden. Dokonce nemusi byt ani jeden > - staci jeho pocitacove gramotnejsi syn. > > Zalezi jak sladke ovoce a jak obtizne dostupne chranis. > > Jakmile bude jednou navod napsany, jde v podstate o par jednoduchych > ukonu, ktere zvladne i ucitelka na zvlastni. > > Dan > > -- > FreeBSD mailing list (users-l@freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l > -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
