forum.opennet.ru

Составление сообщения

Исходное сообщение

"RE: Организация защиты от подмены IP адреса"
Отправлено LS, 07-Окт-02 23:09

>>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC.
>>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про
>>остальных вендоров не в курсе.
>>
>
>Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое
>пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно
>допустить, что на каком-либо свиче в то время, пока реальный хозяин
>отсутствует, может быть произведёно нелегальное подключение в тот же порт.
Общие мысли:
Если клиент имеет возможность изменять физическую структуру сети (т.е. грубо говоря отключиться от одного порта такого "умного" свича и подсоединиться к другому с подменой mac адреса сетевой карты), то единственный на мой взгяд выход, который обеспечивает достаточную надежность - это аутентификация клиента при подключении.
После аутентификации выдать ему определенный IP, и на его основе биллинговать клиента в течении сесии. Другие варианты в исходных условиях задачи по моему не применимы (хотя может быть я их просто не вижу).
Общий ход мысли прост - если клиент может менять все исходные условия задачи (mac, ip, место подключения в физической структуре сети), то нет возможности опираться на эти изначально ненадежные параметры, и единственная возможность достоверно определить клиента - старый дедовский способ - логин+пароль.
В результате вырисовывается хорошо известный механизм AAA - Authentication (опознавание клиента - в простейшем случае опять же логин+пароль), Authorizatition (назначение клиенту ресурсов/параметров соединения, которые он может использовать - в частности IP), Accounting (подсчет ресурсов, использованных клиентом, на основании выданных ему параметров соединения - в частности на основании выданного IP)

Как
>я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку
>идентифицироваться под другим именем.
>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.
>Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка
>иного мака уже идёт програмно. Вот и призадумался, можно ли получить
>"реальный" адрес сетевой в обход программному?

Исходное сообщение
"RE: Организация защиты от подмены IP адреса" Отправлено LS, 07-Окт-02 23:09
>>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC. >>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про >>остальных вендоров не в курсе. >> > >Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое >пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно >допустить, что на каком-либо свиче в то время, пока реальный хозяин >отсутствует, может быть произведёно нелегальное подключение в тот же порт. Общие мысли: Если клиент имеет возможность изменять физическую структуру сети (т.е. грубо говоря отключиться от одного порта такого "умного" свича и подсоединиться к другому с подменой mac адреса сетевой карты), то единственный на мой взгяд выход, который обеспечивает достаточную надежность - это аутентификация клиента при подключении. После аутентификации выдать ему определенный IP, и на его основе биллинговать клиента в течении сесии. Другие варианты в исходных условиях задачи по моему не применимы (хотя может быть я их просто не вижу). Общий ход мысли прост - если клиент может менять все исходные условия задачи (mac, ip, место подключения в физической структуре сети), то нет возможности опираться на эти изначально ненадежные параметры, и единственная возможность достоверно определить клиента - старый дедовский способ - логин+пароль. В результате вырисовывается хорошо известный механизм AAA - Authentication (опознавание клиента - в простейшем случае опять же логин+пароль), Authorizatition (назначение клиенту ресурсов/параметров соединения, которые он может использовать - в частности IP), Accounting (подсчет ресурсов, использованных клиентом, на основании выданных ему параметров соединения - в частности на основании выданного IP) Как >я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку >идентифицироваться под другим именем. >Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера. >Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка >иного мака уже идёт програмно. Вот и призадумался, можно ли получить >"реальный" адрес сетевой в обход программному?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру