IP-Adresse an MAC binden

0815Chaot schrieb:
Grundsätzlich kannst du nicht verhindern, daß sich irgendwer irgendeine IP-Adresse schnappt. Jedenfalls nicht bei diesem Netzwerkaufbau. Aber man kann sich anderweitig behelfen.

Pakete für eine bestimmte IP-Adresse werden dann immer an die von dir festgelegte MAC-Adresse gesendet. Wenn einer auf dem Client die IP-Adresse ändert, paßt die MAC-Adresse nicht mehr zu dem, was du in der /etc/ethers gespeichert hast. Vorausgesetzt, du benutzt einen Switch, kommen Pakete vom Server zum Client nicht mehr bei diesem an.
Zum Vergrößern anklicken....

Das ist leider Quark. Mittels arp(8) kann er sein Problem nicht loesen. Nimmt ein Client ein IP, die ueberhaupt nicht in /etc/ethers drinsteht, hat er diesen Mechanismus umgangen.

Auf MAC-Adressen filter ist aehnlich sinnlos aber eine sehr weit verbreitete Praktik, da die meisten Leute immer vom DAU ausgehen. Dabei ist es soo leicht eine MAC-Adresse zu aendern. :eek:

Summa sumarum: Anhand von Adressen (welcher Art auch immer) zu authentifizieren ist Bullshit. Das machen vielleicht Windows-Admins.... nee nee nee
 
MrFixit schrieb:
Das ist leider Quark. Mittels arp(8) kann er sein Problem nicht loesen. Nimmt ein Client ein IP, die ueberhaupt nicht in /etc/ethers drinsteht, hat er diesen Mechanismus umgangen.

Auf MAC-Adressen filter ist aehnlich sinnlos aber eine sehr weit verbreitete Praktik, da die meisten Leute immer vom DAU ausgehen. Dabei ist es soo leicht eine MAC-Adresse zu aendern. :eek:

Summa sumarum: Anhand von Adressen (welcher Art auch immer) zu authentifizieren ist Bullshit. Das machen vielleicht Windows-Admins.... nee nee nee
Zum Vergrößern anklicken....

Hast schon recht aber hier geht es mir nur um einen User und da leg ich meine Hand ins Feuer, das der nicht weiß wie man ne MAC Adresse fälscht :-))
 
Natürlich muß man bei dem Konzept aufpassen, daß man nur Pakete von Clients erlaubt, die in der /etc/ethers eine Zuordnung haben. Kann man mit Skripten automatisieren. Das hat gear bei seinen IPFW-Regeln auch beachtet. Jetzt sollte er nur noch IPFIREWALL_DEFAULT_TO_ACCEPT aus dem Kernel nehmen.

Meine Frage war zudem extra, ob man unter W2k MAC-Adressen ändern kann. Wäre nett, wenn du uns sagen könntest, wie das geht. Interessiert mich.

Außerdem habe ich schon mal auf einer Mailingliste gefragt, wie man unter *BSD MAC-Adressen manipuliert. Leider wußte keiner eine Antwort. Offensichlich muß dafür der Netzwerkcode manipuliert und das System anschließend neukompiliert werden. Standardmäßig beziehen die für das Netzwerk zuständigen Module die MAC-Adresse wohl von der Hardware und lassen sich zu nichts anderem überreden. Auch hier wäre ich dir dankbar, wenn du mir sagen könntest, wie ich die MAC-Adresse ändere.

Wie ich schon in meinem ersten Post geschrieben habe, würde ich eine Authentifizierung an einem Proxy bevorzugen. Das ist in diesem Fall aber offensichtlich nicht gewünscht und war auch nicht die Frage von gear. Dann kann man nur über die MAC-Adresse gehen. Ja, nicht optimal.
 
0815Chaot schrieb:
Wie ich schon in meinem ersten Post geschrieben habe, würde ich eine Authentifizierung an einem Proxy bevorzugen. Das ist in diesem Fall aber offensichtlich nicht gewünscht und war auch nicht die Frage von gear. Dann kann man nur über die MAC-Adresse gehen. Ja, nicht optimal.
Zum Vergrößern anklicken....

Ähh stop...heheh..das mit dem Proxy hatte ich auch erst vor (Squid) aber wusste nicht wie ich die Clients dazu bringe sich daran zu authentifizieren.
Oder geht das ganz anders?
Och da gibts noch so viel was ich nicht weiß...brauche mehr Input :-)))

P.S. Die MAC Adresse kann man leicht mit dem Tool Smac unter Windows ändern. Unter Linux einach so:
ifconfig eth1 down
ifconfig hw ether 00:02:5C:11:2B:FA
ifconfig eth1 up
 
Zuletzt bearbeitet:
Ach, jetzt also doch ;)

Ist eigentlich ganz einfach. Du läßt deinen Proxy auf einem bestimmten Port laufen (Standard ist bei Squid AFAIR 8080) und erlaubst im Paketfilter nur Verbindungen auf diesen Port. Alle anderen Pakete läßt du blocken.

Jetzt kommen deine Benutzer nur noch ins Internet, wenn sie über den Proxy gehen. Die haben keine andere Wahl mehr. Und wenn der Proxy dann nur authentifizierte Verbindungen zuläßt, ist die Sache gegessen.

Interessant ist das auch für Accounting, Inhaltsfilter, Caching und anderes, wenn sowas für dich nützlich wäre.

Da ist jetzt halt die Frage, was für deinen Zweck angemessen ist. Willst du nur diesen einen Benutzer aussperren oder ist eventuell noch an anderen Proxy-Eigenschaften Interesse. Die Frage mußt du dir selbst beantworten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben