LINUX.ORG.RU
ФорумAdmin

MAC-IP и защита от подмены.


0

0

Вот снова вечно актуальная тема :-)) Появились некоторые мысли, хотя может быть это уже и кто реализовал:

1) Жесткая привязка MAC к IP - неэффективно, хотя и просто - ломается.

2) авторизация - логин/пароль в любых видах (сквид, VPN, клиент-сервер специально написанные и т.д.) - непрозрачно для конечного пользователя и муторно для реализации.

Еще? Пишите.

Но я вот о чем: Кто возьмется написать простейшие проги - клиент и сервер. Задача клиента: собирать некоторый минимум информации о системе (тип проца, типы видюхи, биос, винт, серийные номера - то, что можно собрать на ВСЕХ компах). Задача сервера - принимать эту инфу от клиента (желательно по зашифрованному соединению) и писать в лог. Клиент отрабатывает при запуске виндов и, например, каждые 10-15 мин. Для пользователя все прозрачно - маленькая прога висит в трее и ничего не просит. Никакой привязки к железу нет - цель состоит в том, чтобы иметь больше информации о компьютере в сети помимо MAC и IP. Это позволит защитить от подмены IP и MAC - смена не поможет, так как инфа в логе окажеться прежней (по железу), не убережет от воровства трафика, но поможет дать по лбу умнику. Подделать данные серийников и типов железяк сложно - это нужна уже программная защита клиента от хака. Снимается проблема "а меня в этот день вообще дома не было, а трафика 100 мегов" - записанные данные однозначно идентифицируют данный комп. Нет проблемы кражи и прослушки паролей - все клиенты абсолютно одинаковы. Разрешать или нет доступ в инет при отсутсвии связи с клиентом - решать уже админу сети. Мне это представляется удобным. Какие будут предложения, замечания?

Это элементарная защита от пионеров, которые могут сменить MAC, начитавшись "Хакера", но сломать даже такую простейшую идентификацию им уже не по силам.

А может такое уже есть?

anonymous

Это ты про сети Мелкософт, ISA Proxy Server with fucking reflector. Если уберешь логиниг, так еще проще ломануться через сетку можно и реально, а то что эта прога инфу о компах собирать будет - это фуфел

P.S.

"Задача сервера - принимать эту инфу от клиента (желательно по зашифрованному соединению) и писать в лог"

RE: 1)вырубаем клиента 2)посылаем тот же пакет, что с другого шел 3)обильно качаем парнушку :)

Nander
()

В моей сети проблема - не трафик ограничить, а узнать, кому он принадлежит реально. Вырубаешь клиента - нет очередной посылки пакета - инет вырубается. А повторить сеанс соединения и послать данные как бы с другого компа - в моей сети такого не найдется. И в БОЛЬШИНСТВЕ домашних сетей тоже. А бегать по кварталу пароли раздавать и VPN всем настраивать мне ВЛОМ. Ты разделяй проблемы администраторов офисов, где все компы в двух комнатах и домашние сети.........

А по поводу клиента - главное, получить обоснованные подозрения. Ты думаешь, не заметны будут попытки выключить клиента, подменить данные и т.д.? Я об это узнаю. А вот ты никогда не узнаешь, кто конкретно своровал чужой логин/пароль при достаточной осторожности умника. Потому что попытка здесь предпринимается только одна. И как правило, с первого раза успешная.

К сожалению, трояны в домашних сетях - жестокая реальность и никакая авторизация здесь не прокатывает. Геммора много а толку никакого. Уже проверено. Проблем больше.

anonymous
()

Да, и по поводу другого пакета - есть много способов проверять пакеты на повторяемость и уникальность. Это детали. Важен сам принцип. А именно: не меняя ничего в настройках клиентов и сервера, получить данные о реальном хозяине трафика. Есть еще варианты? IPSec? Смешно для домашних сетей. У меня половина аутлуком пользоваться не умеют, а ты тут про авторизацию........

anonymous
()

и всетаки
pptp наиболее нормальный и реальный выбор тут

там же все настраиваеться как для модемного содинения - и ничего больше
и настраиваеться это очень быстро и нормально на сервере и клиенте
плюс к этому легко считаеться траффик

и ничего не надо писать - только небольшую инструкцию для юзерей

ae
()

В свое время, в нашей домашней сетке стоял Вынь2000+ВПНсервер На мощнейшей тачке. Так вот, включать шифровку трафика было страшно! Машина тормозила по черному. А в инет через ВПН в тот момент ходило то 5 человек, еще в ВПН есть глюк с недоступностью хостов на которых закрыты пинги. А. Еще вспомнил. Какова максимальная пропускная способность одного ВПН клиента? Вот то то. А у меня канал 5.5 Мбита, че за него зря деньги платили? После отката с ВПН на маскарад пользователи меня расцеловать готовы были. ;-) Еще IRC через ВПН заметно хуже работает. Так что давить!

AlexV
()

Подобного рода решение - клиент-сервер уже существует и успешно работает .... в большинстве компьютерных клубов :))) И траффик считает... И клиент и сервер. Что-то типа http://vvg.pp.ru/clubset/

anonymous
()

Нафига мне трафик считать. И у меня не компьютерный клуб. В клубе MAC с айпишником не заменишь. А трафик я и сам могу посчитать. Мне надо точнее знать кому он принадлежит помимо IP и MAC. К тому же под Linux.

anonymous
()

Нет, я конечно пониманю, реклама не помешает, но... 1 - Как-то не по теме, хотя и по теме на сайте материал есть.. 2 - Сайт не доделан и не опубликован 3 - Интересно, кто вообще это постил :)

VVG
()

Хм, а действительно кто? Хотя проблема то действительно существует. P_Igorek

p_igorek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin