IP и MAC

Автор: lpv Дата: 27.06.2003 10:41 Подскажите, как жестко связать IP машины с MAC ее сетевой карты
Re: IP и MAC 27.06.2003 13:25Vladimir Dyakov и вы всерьёз ожидаете ответ на такой вопрос?
[ln.com.ua]
Re: IP и MAC 27.06.2003 14:37lpv Пользователи в сети меняют IP адреса машин, чтобы получить дополнительный траффик. Как связать IP адрес с определенной сетевой картой?
Re: IP и MAC 27.06.2003 14:40koka авторизировать надо пользователей не по mac, а по каким-то иным критериям, например: имя-пароль. В этом случае - pptp+radius
Re: IP и MAC 27.06.2003 14:43zakon Есть клёвая вещь DHCP
man dhcpd
man dhcpd.conf
Re: IP и MAC 27.06.2003 14:53lpv >авторизировать надо пользователей не по mac, а по каким-то иным >критериям, например: имя-пароль. В этом случае - pptp+radius

Другой вопрос. Из вне на сервер приходят пакеты с IP удаленной машины, хотя точно известно, что оттуда никаких обращений не было. Кто-то меняет в заголовке пакетов IP адрес, маскируясь под этот самый удаленный хост. Как с этим бороться?
Re: IP и MAC 27.06.2003 14:55Vladimir Dyakov man iptables
Re: IP и MAC 27.06.2003 15:03lpv Vladimir Dyakov писал(а):

> man iptables

У меня ядро 2.2.11
ipchains может связывать IP адрес с MAC сетевой карты? Если да то как
Re: IP и MAC 27.06.2003 15:04lpv Vladimir Dyakov писал(а):

> man iptables

У меня ядро 2.2.11
ipchains может связывать IP адрес с MAC сетевой карты? Если да то как
Re: IP и MAC 27.06.2003 15:05lpv Vladimir Dyakov писал(а):

> man iptables

У меня ядро 2.2.11
ipchains может связывать IP адрес с MAC сетевой карты? Если да то как
Re: IP и MAC 27.06.2003 15:07lpv Vladimir Dyakov писал(а):

> man iptables

У меня ядро 2.2.11
ipchains может связывать IP адрес с MAC сетевой карты? Если да то как
Re: IP и MAC 27.06.2003 17:33koka а это чего за флуд?

>Есть клёвая вещь DHCP
>man dhcpd
>man dhcpd.conf

а если mac изменить? тогда как?
Re: IP и MAC 27.06.2003 17:39zakon IP не получите
Re: IP и MAC 27.06.2003 18:29koka а если этот mac - соседа? Тогда получу ip соседа (при условии, конечно, что компьютер этого соседа выключен) ;-)
Re: IP и MAC 27.06.2003 18:31Scarab привязка к MAC не имеет смысла, поскольку большинство сетевых карт позволяет менять MAC-адрес. В этом случае гарантированно обеспечить безопасность может только использование управляемых свитчей с возможностью привязки MAC к порту.
Либо - использовать другие средства авторизации: по имени-паролю, через VPN и т.п.

Если же хочется "полунадежности" - то существуют методы обнаружения измененных IP-адресов - в частности Arpwatch, есть патчи к ядру и прочее. Но это все равно ненадежно, так как нет гарантии, что хакер не изменит себе одновременно MAC и IP, прописав себе характеристики известной и заведомо выключенной в данный момент машины.
Re: IP и MAC 27.06.2003 18:42koka а чем и речь. Наиболее оптимальное решение (деньги vs возможности) - pptp и radius.
Re: IP и MAC 27.06.2003 18:55lpv И все-таки, можно с помощью ipchains связать IP и MAC?
Re: IP и MAC 27.06.2003 20:42Woodoo koka писал(а):

> а чем и речь. Наиболее оптимальное решение (деньги vs
> возможности) - pptp и radius.

Думаю, для начала нужно выяснить степень необходимости и степень контроля.
Иной раз *такая* степень защиты не нужна - очень многие воспросы решаются на уровне "чисто административных" методов.
Re: IP и MAC 28.06.2003 17:08absent я наверное чего-то не понимаю, но вроде бы для адаптреа при желании всегда можно задать желаемый МАС ака internet address?
Re: IP и MAC 28.06.2003 18:15Woodoo absent писал(а):

> я наверное чего-то не понимаю, но вроде бы для адаптреа при
> желании всегда можно задать желаемый МАС ака internet address?

Да. Но у пользователя не должно быть прав рута - или я чего-то не понимаю. ;-)
Re: IP и MAC 30.06.2003 11:07yumi >> я наверное чего-то не понимаю, но вроде бы для адаптреа при
>> желании всегда можно задать желаемый МАС ака internet address?
> Да. Но у пользователя не должно быть прав рута - или я чего-то не понимаю. ;-)
ну да в Win 98, к примеру, root нужен Улыбка)
однозначно - авторизация пользователей, плюс административные меры - приказ по предприятию с указанием степени ответственности нарушителей. Второе срабатыет на подсознание и поверьте, при одном удачном применении проблемы исчезают надолго.
Re: IP и MAC 01.07.2003 20:26Woodoo yumi писал(а):
> ну да в Win 98, к примеру, root нужен Улыбка)

Вот и я о том же - нужно ли городить систему защиты, когда она ломается даже на уровне "временной перемены местами сетевых адаптеров"? ;-)
А присутствие в сети Win98 - это отдельная "головная боль" СА. К примеру, пришлось решать этот вопрос на уровне ультиматума: "или Win98 - или сеть".
Re: IP и MAC 02.07.2003 13:22mugger а arp отменили?!
Re: IP и MAC 02.07.2003 16:01Woodoo mugger писал(а):

> а arp отменили?!

А как arp спасет от физического "переброса" сетевых адаптеров?
В случае с подменой mac - да. Во всяком случае, отрегистрирует факт изменения со стороны клиента.
Re: IP и MAC 06.07.2003 15:54destroyer Только с помощью arp, iptables, acl arp в squid ничего не решишь. Если реально нужно ограничивать трафик по mac - то только через управляемые свичи (прописывается к какому порту какая карточка подключена), по другому - добавить авторизацию по паролю.
Re: IP и MAC 06.07.2003 20:42mdv >Другой вопрос. Из вне на сервер приходят пакеты с IP удаленной
>машины, хотя точно известно, что оттуда никаких обращений не
>было. Кто-то меняет в заголовке пакетов IP адрес, маскируясь под
>этот самый удаленный хост. Как с этим бороться?
1. Если удаленный хост - хост локальной сети, то запретить все адреса локалной сети на внешнем интерфейсе.
типа:
ext_if=eth0
lan_ips=192.168.0.0/16
iptables-A INPUT -i $ext_if -s $lan_ips -j DROP

2. если удаленный хост действительно удаленный, тио ест ьпринадлежит extranet'у, то никак наверное, кроме фильтров по MAC, но я не помню умеет лит это ipchains.
Re: IP и MAC 07.07.2003 16:52Woodoo mdv писал(а):

> 2. если удаленный хост действительно удаленный, тио ест
> ьпринадлежит extranet'у, то никак наверное, кроме фильтров по
> MAC, но я не помню умеет лит это ipchains.

[paranoya on]
mac подделывается на уровне пакетов. Никакой неподтвержденной информации извне верить принципиально нельзя. Улыбка
В случае экстранета, imho - только создание защищенных соединений-туннелей.
[paranoya off]

Чейнзы не установлены, но стоит сделать поиск в
---
$ man ipchains
---
на предмет /mac
RSS-материал