egyedi azonosító kulcs hálózati kapcsolathoz

Linux-security

egyedi azonosító kulcs hálózati kapcsolathoz

  • 1245 megtekintés

( nevergone v | 2004. 04. 24., szo – 22:10 )

Sziasztok...

Egy érdekes kérdésem lenne. Egy Linux alapú gépet kell adminisztrálnom, ami tűzfalként (is) funkcionál a lokális hálózaton. A gépet nem én állítottam össze, szal oprendszer nem váltható, de szerintem nem is kell. Jah, és a tűzfal iptables/netfilter -rel van megoldva.

A gép kapcsolodó kliensgépeket eddig két adat alapján azonosítottam: ip-cím, és a hálózati kártya hardver (MAC) címe alapján. Ez eleddig szép és jó, csak itt gyakran előfordulnak account-lopkodások, azaz titokban átállítják ezt a két adatot egy olyanra, akinek van hozzáférése.

Ezért a nagy kérdés: Lehetséges -e egy olyan azaonosítási kulcs használata, melyet nem lehet ellopni, felvenni, módosítani, még az sem gond, ha a kliens oprendszerének újratelepítésével ez a kulcs is módosul.
Én valami bináris adatra gondoltam. Ezt vizsgálhatnám a tűzfalon akkor, amikor a kliens kapcsolódni szeretne, és ez alapján dőlne el, hogy van -e joga hozzá.

Egy másik kérdés: Szintén ezen a gépen hogyan lehetne megoldani iptables (esetleg patch-o-matic) segítségével, hogy a tűzfal érzékelje a hozzá kapcsolódni vágyó operációs rendszer típusát, mondjuk az os-fingerprint segítségével...?

A válaszokat előre is köszönöm...

( nevergone v | 2004. 04. 26., h – 03:17 )

Nos, senkinek semmi ötlet... említettek egy 802.1x szabványt, az használható ebben az esetben...? És ha igen, hogyan kell megvalósítani...?

( pete | 2004. 04. 26., h – 03:28 )

Brute hack ötlet:

* a szerverre feldobsz egy ssh-t kis kulcsmérettel
* létrehozol egy-egy shell accot a legitim usereknek
* a login scriptjük tenné be a filter-szabályt a forwardhoz
* a logout pedig kivenné

Esetleg cronba valami, ami óránként megnézné, ki van bent és a beragadtakat kivenné /ha megszakad a kapcsolat, akkor nem fut le a logout script, asszem/

Ez mellőz minden szépséget, de talán működhet ...

( johans | 2004. 04. 26., h – 08:33 )

[quote:ab994d2996="nevergone"]
...
Ezért a nagy kérdés: Lehetséges -e egy olyan azaonosítási kulcs használata, melyet nem lehet ellopni, felvenni, módosítani, még az sem gond, ha a kliens oprendszerének újratelepítésével ez a kulcs is módosul.
Én valami bináris adatra gondoltam. Ezt vizsgálhatnám a tűzfalon akkor, amikor a kliens kapcsolódni szeretne, és ez alapján dőlne el, hogy van -e joga hozzá.

Erre nekem több ötletem lenne:
1. Zorp professional + a Zorp authentikációs modul. Ez ugyan pénzért van, de tartalmaz egy úgynevezett outbound authentikációt. Tehát mielőtt valakinek engedélyezne egy kapcsolatot, a Zorp ellenőrzi egy kliensre telepített programmalm, hogy a felhasználó jogosult-e vagy sem. Ez a program meg eldönti a kérdést usernév/password, smartcard authentikáció, vagy valami más módon (elég sokmindenhez van támogatás) Előnye, hogy azokat a protokollokat is userhez lehet kötni, amelyek nem tartalmaznak inbound authentikációs lehetőséget.

2. Amennyiben csak inbound authentikációt tartalmazó protokolt (pl. http/https-t) szeretnél átengedni a tűzfalon, úgy a a megfelelő proxyk (pl. squid) felrakásával a felhasználókat authentikálni lehet, az Internetre kifele pedig csak a proxykon keresztül lehet menni.

3. A jogosult kliensek és a tűzfal között VPN-t kell kihúzni, és az internetre csak VPN-en keresztül lehet menni.

Üdv
Jo-Hans