FreeBSD + VPN + MAC + IP, аутентификация локальной сети, ?!?

[Волчара]

Зачем такие сложности?
Есть такая програмка arpwatch. Собирает MAC-адреса автоматически.
DHCP сервер дает возможность жестко привязать IP address to MAC address.

Ну дык не все же клиенты используют DHCP!
Я вот вообще этот сервис не люблю, хотя на работе в силу традиции конторы приходится поддерживать.
Кстати MAC-адрес тоже поменять можно - многие платы позволяют это, так что если кто то знающий решит воспользоваться, то он отследит в сети чей нибудь MAC и IP и когда тот только отключится от сети, перенастроит свой сетевой интерфейс и сможет прорваться. То есть решение это действительно от ламеров. Если вы контролируете физическое подключение, то ещё можно поставить современные коммутаторы (Cisco например), которые умеют прибивать соответствие мак-адреса к подключенному порту и хоть меняй этот адрес - толку не будет. Но это дорого и больше каткит чисто для внутреннего корпоративного решения.
Нужно искать решение для грамотной авторизации, что бы уберечь свои ресурсы.

Да в свитчах сиско есть такая фича secure port filtering. Ее можно использовать для параноидальных энвайронментс. Но все равно можно подключиться к тому же порту с тем же (измененным) МАК-адресом. Ничего не спасет, короче. Можно правда везде encryption использовать, тогда ничего не поможет. Подключайся, не подключайся, все по фигу.

Такой уровень секьюрности разве для CIA... а у них в Риге вроде отделения еще нет

[Katz]

Зачем такие сложности?
Есть такая програмка arpwatch. Собирает MAC-адреса автоматически.
DHCP сервер дает возможность жестко привязать IP address to MAC address.

Ну дык не все же клиенты используют DHCP!
Я вот вообще этот сервис не люблю, хотя на работе в силу традиции конторы приходится поддерживать.
Кстати MAC-адрес тоже поменять можно - многие платы позволяют это, так что если кто то знающий решит воспользоваться, то он отследит в сети чей нибудь MAC и IP и когда тот только отключится от сети, перенастроит свой сетевой интерфейс и сможет прорваться. То есть решение это действительно от ламеров. Если вы контролируете физическое подключение, то ещё можно поставить современные коммутаторы (Cisco например), которые умеют прибивать соответствие мак-адреса к подключенному порту и хоть меняй этот адрес - толку не будет. Но это дорого и больше каткит чисто для внутреннего корпоративного решения.
Нужно искать решение для грамотной авторизации, что бы уберечь свои ресурсы.

Да в свитчах сиско есть такая фича secure port filtering. Ее можно использовать для параноидальных энвайронментс. Но все равно можно подключиться к тому же порту с тем же (измененным) МАК-адресом. Ничего не спасет, короче. Можно правда везде encryption использовать, тогда ничего не поможет. Подключайся, не подключайся, все по фигу.

Такой уровень секьюрности разве для CIA... а у них в Риге вроде отделения еще нет

Я кажется понял чего ей надо. IPv6 (IPSec included) + DHCP server with MAC address bounded to IP.

[f_evgeny]

Зачем такие сложности?
Есть такая програмка arpwatch. Собирает MAC-адреса автоматически.
DHCP сервер дает возможность жестко привязать IP address to MAC address.

Ну дык не все же клиенты используют DHCP!
Я вот вообще этот сервис не люблю, хотя на работе в силу традиции конторы приходится поддерживать.
Кстати MAC-адрес тоже поменять можно - многие платы позволяют это, так что если кто то знающий решит воспользоваться, то он отследит в сети чей нибудь MAC и IP и когда тот только отключится от сети, перенастроит свой сетевой интерфейс и сможет прорваться. То есть решение это действительно от ламеров. Если вы контролируете физическое подключение, то ещё можно поставить современные коммутаторы (Cisco например), которые умеют прибивать соответствие мак-адреса к подключенному порту и хоть меняй этот адрес - толку не будет. Но это дорого и больше каткит чисто для внутреннего корпоративного решения.
Нужно искать решение для грамотной авторизации, что бы уберечь свои ресурсы.

Да в свитчах сиско есть такая фича secure port filtering. Ее можно использовать для параноидальных энвайронментс. Но все равно можно подключиться к тому же порту с тем же (измененным) МАК-адресом. Ничего не спасет, короче. Можно правда везде encryption использовать, тогда ничего не поможет. Подключайся, не подключайся, все по фигу.

Да тут ясное дело 100% не помогает привязка MAC к IP, так как это легко подсмотреть и подменить. В общем то, что я предлагал выше должно выглядеть так:
Неважно какой MAC или IP все строится вокруг авторизации.
1. При входе в сеть надо логинится в домен NT.
2. По логину надо на сервере запускать скрипт, который поднимет НАТ или маскарадинг, в зависимости от платформы, для IP, с которого залогинилсся пользователь.
3. Еще надо придумать, как убирать НАТ когда пользователь разлогинился. Думаю это решаемо.
4. Для линуксов/юниксов думаю можно замутить что нибудь на базе ssh или NIS
5. Если нужен только HTTP, можно посмотреть в google что нибудь типа squid+samba+pdc, ну в общем ясно.

[KYKAH]

Неважно какой MAC или IP все строится вокруг авторизации.
1. При входе в сеть надо логинится в домен NT.
2. По логину надо на сервере запускать скрипт, который поднимет НАТ или маскарадинг, в зависимости от платформы, для IP, с которого залогинилсся пользователь.
3. Еще надо придумать, как убирать НАТ когда пользователь разлогинился. Думаю это решаемо.

Изврат конкретный
Есть такай программка -- Checkpoint Firewall-1 называется...

[f_evgeny]

Неважно какой MAC или IP все строится вокруг авторизации.
1. При входе в сеть надо логинится в домен NT.
2. По логину надо на сервере запускать скрипт, который поднимет НАТ или маскарадинг, в зависимости от платформы, для IP, с которого залогинилсся пользователь.
3. Еще надо придумать, как убирать НАТ когда пользователь разлогинился. Думаю это решаемо.

Изврат конкретный
Есть такай программка -- Checkpoint Firewall-1 называется...

1.
2. Ну на самом деле это просто - пара строчек на shell.

[KYKAH]

Неважно какой MAC или IP все строится вокруг авторизации.
1. При входе в сеть надо логинится в домен NT.
2. По логину надо на сервере запускать скрипт, который поднимет НАТ или маскарадинг, в зависимости от платформы, для IP, с которого залогинилсся пользователь.
3. Еще надо придумать, как убирать НАТ когда пользователь разлогинился. Думаю это решаемо.

Изврат конкретный
Есть такай программка -- Checkpoint Firewall-1 называется...

1.
2. Ну на самом деле это просто - пара строчек на shell.

Правила будут неоптимальные

Хотя если нужна такая степень безопасности, то хрен с ними, с правилами.

[f_evgeny]

Неважно какой MAC или IP все строится вокруг авторизации.
1. При входе в сеть надо логинится в домен NT.
2. По логину надо на сервере запускать скрипт, который поднимет НАТ или маскарадинг, в зависимости от платформы, для IP, с которого залогинилсся пользователь.
3. Еще надо придумать, как убирать НАТ когда пользователь разлогинился. Думаю это решаемо.

Изврат конкретный
Есть такай программка -- Checkpoint Firewall-1 называется...

1.
2. Ну на самом деле это просто - пара строчек на shell.

Правила будут неоптимальные

Хотя если нужна такая степень безопасности, то хрен с ними, с правилами.

Мне, что-то более оптимальное для данных условий задачи ничего не придумывается. По моему здесь именно необходимый минимум.
1. Гарантию, что пользователь не подменен, в сетях TCP/IP может дать только авторизация.
2. На каждого пользователя нужно отдельное правило
Ну, конечно, можно заменить НАТ роутингом. Хотя как правило в интернет ходят обычно именно через НАТ.
Еще вариант - поковырять ssh, но там возможен неслабый дополнительный геморрой на клиентах.

[KYKAH]

Уважаемая Pukiite, проявите, пожалуйста, уважение к публике и дайте какой-либо feedback по поводу того, были ли решены проблемы.

[Pukite]

Планируется использовать следующие действия: http://www.unixfaq.ru/index.pl?req=qs&id=169

[KYKAH]

Планируется использовать следующие действия: http://www.unixfaq.ru/index.pl?req=qs&id=169

Хммм, 802.1x это интересно, надо бы изучить...