|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Sergey Prach 2:5020/400 19 Mar 2004 23:24:42
To : Peter V. Chernikoff
Subject : Re: Идентификация компьютера в сети
--------------------------------------------------------------------------------
Hi!
> SP> Суть идентификации: - определить, что именно этот IP-пакет
> оправлен SP> или получает конкретный клиент, а не кто нибудь иной.
> Стек tcp/ip не pаботает "с клиентами".
Да все правильно ты пишешь, только "очень хочется"...
>
> SP> Проблема мне видится в том, что никакой идентификации на стороне
> dhcpd
> SP> не производится (или мне о такой не известно). MAC-адреса
> легко SP> выяснить и поделать, наксолько я себе это представляю.
> MAC'и легко подделать, если не озаботиться изначальным постpоением сети
> на соответствующем обоpудовании. Я так понимаю, что pечь идет о
> пpовайдинге? Если конечное обоpудование постpоено на хабах или тупых
> свичах, то MAC только тем и хоpош, чтоб по DHCP адpеса pаздавать. PPTP
> VPN спасет (это чтоб гаpантиpованно заpаботал любой мастдай). IPSEC в
> win9x нету.
Мне пока видится немного другая схема ((c) Sergey Prach, 2004):
1. Клиентский компьютер загружается, получает внутренний адрес по DHCP, но
выхода в Инет-при этом не получает, NAT его адрес отвергает.
2. Hа клиентском компьютере пользователь запускает на своем компьютере:
c:\>plink.exe client@server.provider.com clogon
где clogon - некий скрипт, анализирующий переменные окружения, в частности
USER/UID и SSH_CLIENT/SSH_CONNECTION. И, при наличии права на выход у
клиента в Инет, в цепочках iptables регистрируются необходимые изменения.
3. При необходимости, клиент может выполнить у себя на компьютере
c:\>plink.exe client@server.provider.com clogoff
для принудительного прекращения маршрутизацизации клиентских пакетов в Инет.
4. Аналогичные действия можно на внутреннем HTTPS сервере, куда клиент может
заходить броузером и включать/выключать себе доступ в Инет.
Hедостатки такого способы видны в следующем:
- клиент может зайти по ssh и захочет подменить значение переменной
SSH_CLIENT/SSH_CONNECTION. Для этого придется анализировать логи sshd и
сравнивать, значение переменных и значения в логах. Смысла непосредственно
клиенту регистрировать чужй IP на свое имя небольшой, но ноявленная толпа
шмакеров обязательно попробуют чего-нибудь капостное сотворить.
- "отваливать" забывчивых клиентов можно по логам dhcpd, но при этом
необходимо поставить достаточное малое значение для лизинга адреса (10-20
мин., а это лишня нагрузка на сеть) и кроме того, если у кого-то клеинтов
компьютер выключается в определенное время, то можно отловить момент его
выключения и "подсесть" на его адрес, особенно если шмакер будет сидеть с
ним на одном свиче, т/е/ в пределах хождения броадкастов.
Я очень благодарен всем принимающих участие в этой дискуссии, но вариант
с
PPPoE мена мало прельщает:
- лишние телодвижения на компе клиента, будет много заморочек с клиентами
которые любят переставлять мастдайку. Чем меньше проблем у клиента с
подключением - тем больше он будет лазить в Инет-е, а значит расти доходная
часть провайдера;
- у клиентов есть ноутбуки, которые они тягают к себе на работу и где есть
своя корпоративная сеть. Малейшая проблема с подлючением к корпоративной
сети - и антиреклама гарантирована. А проблем у провайдера и без этого
хватает.
--
С уважением,
Сергей Прач
--- ifmail v.2.15dev5.3
* Origin: LtawaSoft (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
