Freesco, NND, CDN, EOS

Chciałem zapytać czy ktoś wie może jak uniemożliwić klonowanie mac adresu przez użytkownika? Wiem że jest to możliwe bo kiedyś natrafiłem na taką sieć gdzie to nie było możliwe, dodatkowo sieć charakteryzowała się tym że po zmianie nazwy komputera, który do niej należał nie było połączenia z internetem. Czy ktoś ma jakiś pomysł?

Zmianę nazwy to bym raczej włożył do bajek.
Zapobieganie zmianom MAC załatwi ip-sentinel.

_________________
Belfer.one.PL
Audio Cafe

A jeśli było logowanie do domeny ?

_________________
F33/F07,F11,F13,F17

Raczej mówimy o Linuksie, ale jeśłi byłoby logowanie do domeny, to problemu nie ma. Nie zmienisz loginu ot tak.

_________________
Belfer.one.PL
Audio Cafe

Może był serwer domeny na sambie...

_________________
F33/F07,F11,F13,F17

Żadnych loginów nie było, adres ip komputer dostawał normalnie po mac adresie, ale to czy internet był czy nie zależało od nazwy komputera w sieci. Coś gdzieś już próbowałem znaleźć na ten temat, miało to jakiś związek z nazwą NetBIOS. Może faktycznie to nie było na linuksie bo teraz czytam o czymś takim jak serwer WINS i to wygląda jakby to było to. Czy w takim razie linuks nie ma jakiegoś swojego odpowiednika który by zadziałał podobnie.

Co do propozycji ip-sentinel, to może źle się wyraziłem bo nie chodzi mi o zabezpieczenie się przed włamywaczami a o to żeby użytkownik sieci który ma do niej dostęp nie dzielił się dalej stosując najzwyklejszy router z kolonowaniem mac adresu.

Przydzielanie IP z dhcp + zabezpieczenia arp działają tak, że wiążą IP z MAC komputera. Zaś ip-sentinel działa w ten sposób, ze zatruwa tablice arp komputera, który próbuje zmienić MAC. Zwykle aby podszyć się pod kogoś z sieci trzeba najpierw sieć podsłuchać. To o czym piszesz można wykrywac programem natdet. Uniemożliwić to raczej trudno. Wykryć można i odciąć taki komputer po wykryciu.

_________________
Belfer.one.PL
Audio Cafe

Czyli jak narazie to taka możliwość tylko na windzie, no szkoda. No chyba że w linuksie dałoby się jakoś wyciągnąć nazwe komputera który uzyskał właśnie ip, wtedy jakiś skrypt porównujący z tym co mamy spisane i odcięcie delikwenta do momentu ponownego przydzielenia ip?

Nie bardzo rozumiem o co tak naprawdę ci chodzi. Nazwa komputera w normalnej sieci nie ma kompletnie żadnego znaczenia. Protokół TCP/IP nie posługuje się nazwami wewnętrznym sieci jako autorytatywną wartością. Nawet w sieci windows nazwy netbios są używane wyłącznie do wyszukiwania w otoczeniu sieciowym.
Więc może po prostu dokładnie napisz co i dlaczego i w jakiego typu sieci chcesz uzyskać.

_________________
Belfer.one.PL
Audio Cafe

Po tym zdaniu wnioskuję że chodzi mu o ttl żeby, klient nie mógł dalej w domu dzielić neta

No tak, chyba to racja.

_________________
Belfer.one.PL
Audio Cafe

Dokładnie tak, z tym że ttl to kiepskie zabezpieczenie i niektóre routery już też mają opcję podnoszenia go, a jeszcze nie spotkałem takiego(zwykłego), który miał by opcję rozgłaszania nazwy NetBIOS, a to właśnie ona była elementem autoryzacyjnym w przypadku wspomnianej wcześniej przeze mnie sieci.

A tak apropos czy linuks wogóle ma coś takiego jak NetBIOS?

Już ci napisałem, że protokół tcp/ip, który służy do komunikacji internetowej nie posługuje się nazwami netbios. Zatem twoje oczekiwanie jest zupełnie bez sensu.
Nie, netbios jest wynalazkiem typowo windowsowym i nie ma go natywnie w linuksach. Tak, może go linux obsługiwać za pomocą samby.

_________________
Belfer.one.PL
Audio Cafe

A czy ja wspomniałem coś o protokole? Mówiłem tylko, że NetBIOS był wykorzystany jako dodatkowy element autoryzacyjny. W jaki sposób - nie mam pojęcia i to właśnie próbuję ustalić.

Myślę że jest to coś takiego co tu opisują z tym że nie bardzo rozumiem jeszcze o co tam chodzi: http://technet.microsoft.com/pl-pl/library/cc781189(WS.10).aspx

Ale że to forum związane z linuksem, więc nie ma co tematu ciągnąć dalej.
Po prostu byłem ciekaw czy na linuksie coś takiego również da się zrobić bo na Windowsa w życiu się nie przesiądę.

Faktycznie masz braki. W przypadku zastosowania serwera Windows można uruchomić logowanie do domeny. Czyni ono zaufaną jednocześnie maszynę i użytkownika. Oznacza to, ze nie uzyska dostępu zaufany użytkownik z niezaufanej maszyny, ani zaufana maszyna z niezaufanym użytkownikiem. Tylko odpowiednie zestawienie tych dwóch elementów pozwoli się zalogować i otrzymać dostęp do sieci. W przypadku zastosowania ISA można jeszcze w ten sposób zadecydować o dostępie do internetu. Oczywiście jest to rozwiązanie nie do przyjęcia w sieciach abonenckich, ponieważ dostawca internetu nie może rościć sobie praw do zarządzania komputerami klientów. Natomiast to rozwiązanie powszechnie jest używane w szkołach i firmach.
W przypadku Linuksa zachowanie serwera emuluje Samba. Można również zarządzać dostępem do komputera przez logowanie się użytkownika. Jednak zarządzanie np. zakresem dostępu do internetu jest już trudniejsze, bo w Linuksie iptables nie jest składnikiem natywnym Samby. W tym wypadku zarządzanie prawami dostępu do sieci można realizować przez jakieś natywne rozwiązania linuksowe. Można opracować spójny system oparty na LDAP lub Radiusie. Będzie on jednak związany z nazwą użytkownika, hasłem, oraz np. MAC maszyny, ale netbiosowej nazwy maszyny się do tego nie zaprzęgnie z powodu, który podałem ci już wcześniej.

_________________
Belfer.one.PL
Audio Cafe

W protokole dhcp jest cos takiego jak hostname. Niektore sieci sprawdzaja go i jak sie zmieni, to nie przydzielaja adresu. Komunikacja w sieci jest zabroniona dla hostow ktore nie pobiora adresu z dhcp i to jest cala tajemnica.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

A to nie jest przypadkiem nazwa dns ? Chyba to nie to samo co "netbios name" ?

_________________
F33/F07,F11,F13,F17

Nie jest.

_________________
Belfer.one.PL
Audio Cafe

To chyba chodzi o "deny unknown-clients;" i nazwy "host" w dhcpd.conf tak jak pisze tasiorek.
Przy okazji na początku setup freesco pyta o nazwę hosta to ta nazwa jest netbios ? http://bakskuru.se/fredrik/freesco/afib ... ml#Network , tak samo router sprzętowy jest opcja hostname.

Nazwy w sieci wewnętrznej w Linuksie nie są nazwami netbios, mogą również służyć do identyfikacji hostów, ale nie rozgłaszają się i wymagają skonfigurowanej strefy lokalnej.

_________________
Belfer.one.PL
Audio Cafe