Kontrola paru MAC-IP

Jan Stary hans at stare.cz
Wed Jan 9 09:05:19 CET 2008

Previous message: Kontrola paru MAC-IP
Next message: Kontrola paru MAC-IP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

> > A existuje rozumny duvod se domnivat, ze ten, kdo umi zmenit IP
> > adresu neumi zmenit MAC, kdyz to se ve Windows dela ve stejnem okne,
> > jen o > > zalozku vedle ?
> 
> To samozrejme muze, ale musel by si spolu s ni "ukrast" take
> prislusnou MAC,

coz je trivialni.

> resp. jde o to nikoliv povolit jen nektere MAC a zvlast jen nektere
> IP... smyslem by melo byt kontrolovat primo dvojice, tedy ze smi
> komunikovat pouze IP 1.2.3.4, pokud je prislusna rozhrani
> aa:bb:cc:dd:ee:ff ...

Pokud je tech "povolenych" pocitacu dostatecne malo na to, aby ses
nezblaznil z udrzovani bijekce mac:ip, zaved si proste static arp,
jak uz se tu rikalo; pokud je jich vic, a obcas se v nekterem meni
sitovka, tak se z toho ale zblaznis.

> V tomto pripade neni nutne vedet, odkud se dany clovek pripojuje,
> naopak by mel byt umoznen pohyb kdekoliv po siti...

Aha, tak to je trosku jinak, nez jsem myslel ...

> Pokud to ukazu na prikladu, tak mame firmu z IT oblasti, aby se
> zamezilo tomu, ze si budou zamestnanci pripojovat do site sve soukrome
> notebooky a pristupovat s nimi k Internetu pres nejaky firemni router
> (nebo do jineho segmentu pres router), tak se povoli pristup jen
> stavajicim pocitacum, ktere nejsou soukrome. Pokud pak nekdo prijde se
> svym notesem, tak se nikam za router nedostane, proto zacne treba
> laborovat s IP nebo i MAC, ale musel by se nutne trefit do konkretniho
> paru IP a k ni prislusne MAC (muze si je samozrejme odchytit, ale
> rekneme, ze se nepredpoklada, ze by pracovnici byli natolik znali...).

Pokud to dobre chapu, tak staci, kdyz na svem soukromem laptopu nastavim
IP a MAC sveho pracovniho pocitace a prendam kabel; coz jiste zvladne
uplne kazdy ...

To ale neosetris nijak - jakmile potom paket odejde ze sitovky toho
laptopu, nikdo uz na tom paketu nepozna, ze to nebylo z meho pracovniho
pocitace.

> No a pak tu mame servis, kde se provadi opravy pocitacu, ktere
> prinesou zakaznici, tyto pocitace nejsou samozrejme v siti
> registrovane a pro jednoduchost se to ani delat nechce. Proto se
> nektera mistnost, kam maji pristup jen povolane osoby prenatuje
> s maskaradou

Jasne, celou tu mistnost das za separatni interface, nejspis na nem
budes provozovat dhcpd, a pres tento interface traffic do netu povolis;
zde ovsem stoji naplneni tveho zameru na tom, ze k tomu interfacu se
zadny jiny stroj fyzicky nedostane.

	js

Previous message: Kontrola paru MAC-IP
Next message: Kontrola paru MAC-IP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list