| Freesco, NND, CDN, EOS http://forum.freesco.pl./ |
|
| blokada klonowania mac adresów http://forum.freesco.pl./viewtopic.php?f=34&t=18159 |
Strona 1 z 1 |
| Autor: | grom [ piątek, 26 lutego 2010, 01:05 ] |
| Tytuł: | blokada klonowania mac adresów |
Chciałem zapytać czy ktoś wie może jak uniemożliwić klonowanie mac adresu przez użytkownika? Wiem że jest to możliwe bo kiedyś natrafiłem na taką sieć gdzie to nie było możliwe, dodatkowo sieć charakteryzowała się tym że po zmianie nazwy komputera, który do niej należał nie było połączenia z internetem. Czy ktoś ma jakiś pomysł? |
|
| Autor: | Maciek [ piątek, 26 lutego 2010, 01:23 ] |
| Tytuł: | |
Zmianę nazwy to bym raczej włożył do bajek. Zapobieganie zmianom MAC załatwi ip-sentinel. |
|
| Autor: | viater [ piątek, 26 lutego 2010, 01:47 ] |
| Tytuł: | |
Maciek pisze: Zmianę nazwy to bym raczej włożył do bajek.
A jeśli było logowanie do domeny ? |
|
| Autor: | Maciek [ piątek, 26 lutego 2010, 02:14 ] |
| Tytuł: | |
Raczej mówimy o Linuksie, ale jeśłi byłoby logowanie do domeny, to problemu nie ma. Nie zmienisz loginu ot tak. |
|
| Autor: | viater [ piątek, 26 lutego 2010, 02:31 ] |
| Tytuł: | |
Maciek pisze: Raczej mówimy o Linuksie, ale jeśłi byłoby logowanie do domeny, to problemu nie ma. Nie zmienisz loginu ot tak. Może był serwer domeny na sambie...
|
|
| Autor: | grom [ piątek, 26 lutego 2010, 15:11 ] |
| Tytuł: | |
Żadnych loginów nie było, adres ip komputer dostawał normalnie po mac adresie, ale to czy internet był czy nie zależało od nazwy komputera w sieci. Coś gdzieś już próbowałem znaleźć na ten temat, miało to jakiś związek z nazwą NetBIOS. Może faktycznie to nie było na linuksie bo teraz czytam o czymś takim jak serwer WINS i to wygląda jakby to było to. Czy w takim razie linuks nie ma jakiegoś swojego odpowiednika który by zadziałał podobnie. Co do propozycji ip-sentinel, to może źle się wyraziłem bo nie chodzi mi o zabezpieczenie się przed włamywaczami a o to żeby użytkownik sieci który ma do niej dostęp nie dzielił się dalej stosując najzwyklejszy router z kolonowaniem mac adresu. |
|
| Autor: | Maciek [ piątek, 26 lutego 2010, 15:30 ] |
| Tytuł: | |
Przydzielanie IP z dhcp + zabezpieczenia arp działają tak, że wiążą IP z MAC komputera. Zaś ip-sentinel działa w ten sposób, ze zatruwa tablice arp komputera, który próbuje zmienić MAC. Zwykle aby podszyć się pod kogoś z sieci trzeba najpierw sieć podsłuchać. To o czym piszesz można wykrywac programem natdet. Uniemożliwić to raczej trudno. Wykryć można i odciąć taki komputer po wykryciu. |
|
| Autor: | grom [ piątek, 26 lutego 2010, 16:55 ] |
| Tytuł: | |
Czyli jak narazie to taka możliwość tylko na windzie, no szkoda. No chyba że w linuksie dałoby się jakoś wyciągnąć nazwe komputera który uzyskał właśnie ip, wtedy jakiś skrypt porównujący z tym co mamy spisane i odcięcie delikwenta do momentu ponownego przydzielenia ip? |
|
| Autor: | Maciek [ piątek, 26 lutego 2010, 17:01 ] |
| Tytuł: | |
Nie bardzo rozumiem o co tak naprawdę ci chodzi. Nazwa komputera w normalnej sieci nie ma kompletnie żadnego znaczenia. Protokół TCP/IP nie posługuje się nazwami wewnętrznym sieci jako autorytatywną wartością. Nawet w sieci windows nazwy netbios są używane wyłącznie do wyszukiwania w otoczeniu sieciowym. Więc może po prostu dokładnie napisz co i dlaczego i w jakiego typu sieci chcesz uzyskać. |
|
| Autor: | Barret [ poniedziałek, 1 marca 2010, 16:11 ] |
| Tytuł: | |
Cytuj: Co do propozycji ip-sentinel, to może źle się wyraziłem bo nie chodzi mi o zabezpieczenie się przed włamywaczami a o to żeby użytkownik sieci który ma do niej dostęp nie dzielił się dalej stosując najzwyklejszy router z kolonowaniem mac adresu.
Po tym zdaniu wnioskuję że chodzi mu o ttl żeby, klient nie mógł dalej w domu dzielić neta |
|
| Autor: | Maciek [ poniedziałek, 1 marca 2010, 16:58 ] |
| Tytuł: | |
No tak, chyba to racja. |
|
| Autor: | grom [ wtorek, 2 marca 2010, 07:09 ] |
| Tytuł: | |
Dokładnie tak, z tym że ttl to kiepskie zabezpieczenie i niektóre routery już też mają opcję podnoszenia go, a jeszcze nie spotkałem takiego(zwykłego), który miał by opcję rozgłaszania nazwy NetBIOS, a to właśnie ona była elementem autoryzacyjnym w przypadku wspomnianej wcześniej przeze mnie sieci. A tak apropos czy linuks wogóle ma coś takiego jak NetBIOS? |
|
| Autor: | Maciek [ wtorek, 2 marca 2010, 11:39 ] |
| Tytuł: | |
Już ci napisałem, że protokół tcp/ip, który służy do komunikacji internetowej nie posługuje się nazwami netbios. Zatem twoje oczekiwanie jest zupełnie bez sensu. Nie, netbios jest wynalazkiem typowo windowsowym i nie ma go natywnie w linuksach. Tak, może go linux obsługiwać za pomocą samby. |
|
| Autor: | grom [ wtorek, 2 marca 2010, 19:29 ] |
| Tytuł: | |
A czy ja wspomniałem coś o protokole? Mówiłem tylko, że NetBIOS był wykorzystany jako dodatkowy element autoryzacyjny. W jaki sposób - nie mam pojęcia i to właśnie próbuję ustalić. Myślę że jest to coś takiego co tu opisują z tym że nie bardzo rozumiem jeszcze o co tam chodzi: http://technet.microsoft.com/pl-pl/library/cc781189(WS.10).aspx Ale że to forum związane z linuksem, więc nie ma co tematu ciągnąć dalej. Po prostu byłem ciekaw czy na linuksie coś takiego również da się zrobić bo na Windowsa w życiu się nie przesiądę. |
|
| Autor: | Maciek [ wtorek, 2 marca 2010, 20:14 ] |
| Tytuł: | |
Faktycznie masz braki. W przypadku zastosowania serwera Windows można uruchomić logowanie do domeny. Czyni ono zaufaną jednocześnie maszynę i użytkownika. Oznacza to, ze nie uzyska dostępu zaufany użytkownik z niezaufanej maszyny, ani zaufana maszyna z niezaufanym użytkownikiem. Tylko odpowiednie zestawienie tych dwóch elementów pozwoli się zalogować i otrzymać dostęp do sieci. W przypadku zastosowania ISA można jeszcze w ten sposób zadecydować o dostępie do internetu. Oczywiście jest to rozwiązanie nie do przyjęcia w sieciach abonenckich, ponieważ dostawca internetu nie może rościć sobie praw do zarządzania komputerami klientów. Natomiast to rozwiązanie powszechnie jest używane w szkołach i firmach. W przypadku Linuksa zachowanie serwera emuluje Samba. Można również zarządzać dostępem do komputera przez logowanie się użytkownika. Jednak zarządzanie np. zakresem dostępu do internetu jest już trudniejsze, bo w Linuksie iptables nie jest składnikiem natywnym Samby. W tym wypadku zarządzanie prawami dostępu do sieci można realizować przez jakieś natywne rozwiązania linuksowe. Można opracować spójny system oparty na LDAP lub Radiusie. Będzie on jednak związany z nazwą użytkownika, hasłem, oraz np. MAC maszyny, ale netbiosowej nazwy maszyny się do tego nie zaprzęgnie z powodu, który podałem ci już wcześniej. |
|
| Autor: | tasiorek [ wtorek, 2 marca 2010, 23:40 ] |
| Tytuł: | |
W protokole dhcp jest cos takiego jak hostname. Niektore sieci sprawdzaja go i jak sie zmieni, to nie przydzielaja adresu. Komunikacja w sieci jest zabroniona dla hostow ktore nie pobiora adresu z dhcp i to jest cala tajemnica. |
|
| Autor: | viater [ środa, 3 marca 2010, 00:06 ] |
| Tytuł: | |
tasiorek pisze: W protokole dhcp jest cos takiego jak hostname.
A to nie jest przypadkiem nazwa dns ? Chyba to nie to samo co "netbios name" ? |
|
| Autor: | Maciek [ środa, 3 marca 2010, 00:28 ] |
| Tytuł: | |
Nie jest. |
|
| Autor: | pawem1 [ niedziela, 7 marca 2010, 22:20 ] |
| Tytuł: | |
To chyba chodzi o "deny unknown-clients;" i nazwy "host" w dhcpd.conf tak jak pisze tasiorek. Przy okazji na początku setup freesco pyta o nazwę hosta to ta nazwa jest netbios ? http://bakskuru.se/fredrik/freesco/afib ... ml#Network , tak samo router sprzętowy jest opcja hostname. |
|
| Autor: | Maciek [ poniedziałek, 8 marca 2010, 00:49 ] |
| Tytuł: | |
Nazwy w sieci wewnętrznej w Linuksie nie są nazwami netbios, mogą również służyć do identyfikacji hostów, ale nie rozgłaszają się i wymagają skonfigurowanej strefy lokalnej. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|