Prosba

[Dan Lukes]

On Tue, 30 Jan 2001, [iso-8859-2] Eva Findoráková wrote:

> Potrebuji, aby moji klienti s konkretni MAC adresou mohli pouzivat (na 
> sve strane) jen IP, ktere jim definuji ja.
...
> Zjistila jsem, ze se to da udelat pomoci arp, ale moc se mi to nedari. 
> Udelam arp -s 192.168.1.7 xx:xx:xx:xx:xx:xx. Typ se zmeni na: staticky.
> Domnivala jsem se, ze ted si toto IP 192.168.1.7 uz nemuze zmenit IP na 
> jine, ale porad to jde. Poradite mi prosim nekdo kde delam chybu?

	Jak Vam zde jiz poradili jini kolegove, potrebujete onen zaznam 
na WIndowsech udelat nejen staticky, ale take permanentni. TO bud NT
umi nebo neumi. Pokud to neumi mate pravdepodobne smulu a lze Vam
poradit jen pouzit nejaky (jiny) operacni system, ktery routing zajisti.
Pokud to umi, je pravdepodobne, ze permanentni zaznamy jiz nebudou samovolne 
dynamicky modifikovany. Pak uz musite zajistit jen to, ze uzivatel
nebude moci pouzit nejakou nepridelenou adresu z aktivniho subnetu - toho
dosahnete tim, ze ARP tabulku naplnite VSEMI IP adresami - u pridelenych
realnou MAC adresou, u nepridelenych nejakou vymyslenou. Pokud se vam podari
zajistit, aby byly ARP zaznamy staticke a permanentni muze se ukazat to,
ze nepouzivate DHCP jako vyhoda - to totiz obvykle v ramci pridelovani
adresy dela take zaznamy do arp tabulky a pracne vykonstruovane permanentni
zaznamy by vam pravdepodobne zase prepisovalo. Ja toto reseni pouzivam (ale
ne na NT a DHCP daemona bylo potreba v tomto smeru "opravit").

	Je ale potreba podotknout, ze toto reseni (bude-li vubec 
realizovatelne) ma nejen tu vadu, o ktere zde jiz byla rec (blokuje pouze 
komunikaci pres router, ale ne navzajem), ale jeste jednu vaznejsi, zde
dosud nezminenou - prakticky vsechny dnes dodavane sitove karty
dovoluji MAC libovolne zmenit - a tak potencionalni zlobivec
ukradne nikoli jen samostatnou MAC adresu, ale svihne ji rovnou vcetne MAC
a cely krasny ochranny system je k nicemu.

Pro skutecne seriozni vyreseni tohoto problemu potrebujete pripojit
pocitace do switche, idealne jeden per port a musi to byt switch inteligentni,
ktery zaroven umozni na portu nastavit s jakymi MAC adresami
je ochoten komunikovat. Usetrite si problematicke konfigurovani NT, 
zabranite kradeni MAC (s ukradenim MAC by se utocnik take musel 
prepojit do spravne zasuvky), jedine co neusetrite jsou penize, protoze
takovy switch neco stoji.

	Pokud Vam budu moci byt jeste nejak napomocen, 
klidne se na me obratte.

				Zdravim

					Dan