Simulace IP adresy.

David Rohleder davro at ics.muni.cz
Thu Oct 28 20:17:10 CEST 1999 

Radomir.Ludva at cssz.cz (Skola Kromeriz) writes:

> Dobry den,
>
>     obracim se na Vas vsechny s takovym mensim problemem,
> ktery mam a se kterym si nevim (zatim) rady.
>
>     Predstavte si, ze mate lokalni sit (LAN), ktera je pripojena na
> WAN, ve ktere je nekde pocitat, ktery je pripojeny na Internet a
> ktery slouzi jak firewall nebo neco takoveho. Z te lokalni site muze
> JEN JEDEN, pocitac s presne danou IP adresou pristupvat do
> Internetu. IP adresa toho pocitace je definovana na tom rekneme
> firewallu nebo bastionhostitely ci to je (nevim). Kdyz chce pristupvat
> do Internetu pocitac s jinou nez povolenou IP adresou, tak mu to ten
> firewall zakaze a misto pozadovane www stranky vrati ze nemate
> povoleny pristup do Internetu.
>     Vzhledem k tomu, ze mi mi kolegova kladou prekazky v pristupu k tomu
> PC s pristupem na Internet, tak musim nekde u sebe zkonfigurovat pocitac
> tak,
> aby datagramy IP protokolu, se tvarili jako datagramy toho pocitace co
> pristup
> na Internet ma povolen a pri prijmu datagramu zase odchytaval a zpracoval
> datagramy, ktere patri tomu PC s tim co pristup ma povolen. V siti NESMI
> vzniknout situace o tom, ze doslo k detekci dvou pocitacu se stejnou IP
> adresou. Jen podotykam, ze Proxi na ten PC nedaji, dost mozna asi ani
> nevedi jak, ale kazdopane by mi ulehcili zivot, coz neni v jejich zajmu.
>     Citim se asi jako jakysi hecker, o kterem jsem slysel, ze si bez dozoru
> nesmi ani vytukat telefoni cislo, kdyz potrebuju nejakou www stranku a
> zvednu
> telefon s tim, ze ji dostanu vytistenou na papire nebo postou. Mohl bych
> zvolit i jina reseni, jako napriklad modem, ale uznejte ze pri reseni tohoto
> problemu se toho clovek nauci vic nez pri pripojovani modemu a navic
> pozna i mnohe z toho co by jako "bezny" uzivatel ci "bezny" spravce site
> nepoznal a neprobadal.
>
>                 S pozdravem
>
>                                     Radek Ludva - spravce site

V tom pripade Vam muzeme navrhnout nekolik moznosti:

1. stezujte si u nadrizeneho vasich kolegu
2. dejte vypoved
3. pouzivejte sluzbu typu volny z domova


Technicke reseni problemu je obtizne, mnohdy nerealizovatelne. V
urcitych specialnich pripadech by to slo udelat treba takto:

1. Vas pocitac pouzije ARP k tomu, aby zmenil MAC adresu povoleneho
   pocitace na nejakou vhodnejsi (na firewallu nesmi byt MAC adresy
   staticky). Nejlepe multicastovou nebo broadcastovou. To bude cinit
   dostatecne casto, aby prebil spravne hlasky od povoleneho pocitace.
2. zmenite MAC adresu sveho stroje na MAC povoleneho stroje.
3. Nastavite si stejnou IP adresu, jako ma povoleny pocitac a zakazete
   mu komunikovat se vsemi pocitaci s vyjimkou firewallu.

To by mohlo stacit. Jestli cekate, ze Vam poradim dal, tak to
neudelam.

Existuji jeste i dalsi, vetsinou nelegalni, reseni:

- zbavte se svych kolegu a stante se jedinym opravnenym spravcem site.
  K tomuto reseni si staci precist par detektivek nebo spionaznich
  knizek. Ovsem upozornuji Vas, ze nase veznice jeste Internet
  nezavadeji :-)

--
-------------------------------------------------------------------------
David Rohleder						davro at ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------

More information about the net mailing list