Изпечатай

[trackersoft]

Здравейте! Искам да попитам има ли някакъв начин с някой стандартен daemon да се направи така, че при включване на компютър с MAC адрес, който примерно не е записан в определен списък, то този компютър да получи съобщение, че има конфликт с друг такъв адрес: нещо от рода на: всички MAC адреси са заети,само на тези които са в списъка да им позволява да се включват нормално?
--
Ако някоий има поне някаква насока или идея моля да я сподели! Благодаря предварително!

[Nerf]

Незнам дали съм те разбрал правилно но:
Искаш да си направиш списък с адреси на който им е позволено да влизат в мрежата(твоия часна мрежа).
Ако някой си закачи PC на което MAC-а не е в този списък да му прави проблем?

ако е така имаше някаде едно тулче което прави точно това. Аз съм го срещал като arpwar(за мен е голяма простотия).
За Windows машините е смърт, но за линукс няма ефект.

Няма начин. Switch с port security освен...

Според мен има начин '>

Tрябва да се рутират всички ИП адреси, които не се ползват към втория (външния) интерфейс на машината и да се пусне proxy_arp

PS:
Е.... сега попрочетох по-правилно - решението е само за IP-MAC чифтове '>

[dimsi66]

Значи правиш си едно файлче,като в него описваш всички IP и Мак адреси:
192.168.0.2 00-00-ХХ-ХХ-ХХ
192.168.0.3 00-ХХ-ХХ-ХХ-ХХ

слагаш го кадето ти е удобно примерно в etc
arp -f /etc/ime_na_file

в rc.local пишеш:
touch /var/lock/subsys/local
ip ne flush nud all
arp -f /etc/ime_na_file

Мисля че това ще ти свърши работа.

"За Windows машините е смърт, но за линукс няма ефект. " Nerf моляте не се излагай така.

Това не е решение. Така създаваш просто една статична ARP таблица. Твърде вероятно ако не си сет-нал NOARP (ifconfig dev -arp) за интерфейса, не след особено много време арп таблицата на машината ще започне пак да отразява "реалната" ситуация. Отделно, че дори да си набиеш статична арп таблица, това ще важи само за машината, на която си го направил. Никой не е казал, че единствено тя ще отговаря на АРП заявките на някой нов включил се вандал, нито пък че ще отговаря първа, преди останалите машини в етернет сегмента, т.е комуникация между тях ще има, каквото и да направиш. Иначе, ако машината, на която слагаш твоя си арп таблица се явява някакъв рутер към интернет, така (съчетано с НАТ-ване единствено на "позволени" ип адреси) почти ефективно ще позволяваш само на познати двойки ИП-МАК да ползват интернет...докато вандалите не се сетят да си spoof-ват мак адреса де.

Предполагам би било възможно да се реализира друг вариант..да си имаш една статична АРП таблица, да се напише някакъв шит, който постоянно гледа за АРП заявки, които идват от непознати МАК адреси и когато това се случи, да извърши една "arpspoof" гавра със новия МАК адрес - да го накараш да вярва че всички ИП адреси на реални съществуващи машини отговарят на някакъв несъществуващ мак адрес. Това звучи идиотско, но предполагам че ефективно ще прецака всякаква комуникация между новия вандалски хост и всички останали в етернет сегмента.. Реализацията на тва няма да е особено проста обаче и ще иска повече усилия. Определено няма да стане с 10 реда шел скрипт '> И всъщност пак не е гаранция  - първо че вандала може да си подправи МАК адреса и второ че вандала също може да си има една статична арп таблица (и NOARP) и да не му пука с какви лъжливи глупости го заливаш '>

(почти) абсолютната сигурност идва с ползването на суич с порт секюрити. Много малко вероятно е вандала-хахор, който се включи в мрежата да знае на този порт какъв мак адрес е позволен да се върже. Без да го нацели по някакъв начин, нито един пакет няма да мине от и към неговия интерфейс. Вържеш ли го към "тъп" суич, всичко, което е предназначено за него ще си минава, отделно всичко което излиза от него ще се препраща където трябва. Това е неприятния side-effect от цялата работа - все пак разликата в цената от $20-30 за прост суич от близкия магазин (в сравнение със стотици долари за един catalyst) не е случайна '>

@и - аз имам рутер със статична АРП таблица, не съм изключил АРП-то и все пак работи - ако изключа АРП протокола, трябва на всички потребителски машини да се прави също статична арп таблица.
А, ефекта от този arpspoof дето искаш да го правиш се постига много лесно с това, което предложих - рутера ще отговаря на всички АРП заявки към адреси, които са на другия интерфейс. Въпросът е единствено, че това ще работи както трябва, ако са известни ИП адресите на "редовните" потребители (още по добре ИП-МАК чифтовете).

Аз нещо не мога да разбера целта на тази защита. Предполагам, че е само и единствено "нередовните" потребители да не могат да ползват ресурсите на локалнта мрежа.

От гледна точка на рутера дам. Неизвестни мак-ове или пък мак-ове със странни различни от таблицата IP-та няма да могат да комуникират с теб.

Можеш обаче да пробваш да смениш МАК адреса на някоя машинка от ethernet сегмента (машина_А), да изчакаш да експиряса нейното АРП ентри от  някоя друга машина (ще я наречем машина_Б - която и да е от всички останали без рутера - ако не ти се чака, може и да го затриеш от машина_Б. После от машина_Б  пинг-ваш машина_А, ще видиш че ще има icmp reply. Машина_А обаче няма да може да се свърже с рутера (и няма да може да излиза навън през него).

Ако целта е МАК адрес дето го няма в статичната арп таблица на рутера да не може да излиза през него, ще свърши работа. Ако целта е да няма комуникация между отделните nodes в мрежата - тц. Ethernet е отчайващо малоумно несигурен протокол (май само 802.11 го бие хех).

Умните суичове всъщност не решават 100% проблема де - знаеш ли с какъв мак адрес трябва да си, че да се вържеш на този порт, всички тези неща може да станат също  валидни.

Ама стана ебаси малоумния дълъг пост..

@gateway

Имам предвид, че прерутирането на "неизвестни" ИП-та от другата страна на рутера ще доведе до АРП отговор от страна на рутера (и при пуснато proxy_arp), което от своя страна ще доведе до конфликт за "неизвестното" ИП пуснато от вътрешната страна на рутера. Също така МАК таблиците на суичовете в мрежата ще се опресняват с различни пътиша всеки път като се получи пакет към това ИП, което води до силно намаляване на пропусквателната спосообност по отношение на това ИП (особено, ако е в края на мрежата).

Обикновено става "кой превари", т.е за това ИП ако рутера (понеже има proxyarp) върне друг МАК адрес, то няма да е гаранция че отговорът му ще бъде получен първи. Първият получен отговор съответния получател ще го вземе на доверие и около половин минута ще си го пази в АРП кеша...така до изтичането му, когато пак ще пусне АРП бкаст.

Естествено не е гаранция че "лошия" отговор винаги ще пристига първи, както и "добрия"  (от рутера). Статистически погледнато обаче, в един по-голям етернет сегмент рутера обикновено е достатъчно затормозен с препращане на пакети от слой 3, със отговаряне на АРП-та (заради проксиарп), не дай боже с други задачи. Поради тази причина, теоретично, особено ако лошият е с по-бърза машинка, по-бързо ще пристигат неговите арп отговори. Естествено, това зависи много от топологията - от latency-то на кабеляците и суичовете по пътя, както и от скоростта и натоварването на "лошата" машина и на рутера във всеки един момент.

Иначе на практика дам, качеството на хакерската връзка може да  деградира до никакво за известно време. Следвано от периоди на оправяне. Ъмм главно заради кеширането на АРП информация. Дали относително ниските стойности за време на изтичане на ентри от АРП таблиците (половин-една минута) в повечето операционни системи е нещо хубаво - това е много сложен въпрос. За такива неща си има големи глави да ги мислят '>