Gépek azonosítása

[quote:8024c917e4="hackac"]Azt hiszem ez a hét ötlete. Most rávetem magad a Google-ra, mert VPN-t még soha nem gyártottam.
A win OK, de nem tudod véletlenül, hogy mennyire macerás belőni a VPN klienst MacOS és Linux alatt?

Hackac

:)
Reszletes howtok minden disztribhez:
http://pptpclient.sourceforge.net/

pptp vpn-t ketfele modon tudsz csinalni.
En ezt a modszert hasznalom.
http://www.czeh.hu/linuxdoc/vpn-pptp.html

msandor, willothewisp, polya: Épp ezt a megoldást szeretném elkerülni, hogy a tűzfalscriptem elején legyen 100-150 "felesleges" sor.

Ciklus, külön fileba az IP/MAC lista. :D

PPPoE-server , nem jó ????

[quote:a06b93c8fd="hackac"]Mi a másik verzió? Én csak ezt a fajtát fedeztem fel tegnap a Googlen... A kivitelezés viszont meglehetősen egyszerűnek tűnik.

Már csak egy valami nem teljesen világos nekem. Ok, hogy felépül a VPN kapcsolat, de azt hogy oldom meg, hogy csak az mehet ki, aki VPN-en jött
be?

Ugy ertem, hogy a kernelhez ketfajta mppe modul is van. Kicsit maskepp kell hasznalni oket.
Masik modszer:
http://poptop.sourceforge.net/dox/replacing-windows-pptp-with-linux-howto.phtml
Debian alatt csomag is van hozza a kernel modulhoz:
http://pptpclient.sourceforge.net/howto-debian-build.phtml

A tuzfalon csak a ppp+ (akarmenyik ppp) interfaceket engeded ki a kulso halora, a belso ethernet interfacet nem.

nalam a pptpd megy, csak 1 a baj: 1szerre csak 1 kliens tud csatlakozni :o
nem tudom hogy koze van-e ahhoz, hogy a pppd ossza ki az ipt, mert minden felhasznalohoz kulon ipcim van (nem a pptpd ad ki egy szabad ipt)

Én azt csinálnám - szigorúan esztétikai megfontolások miatt -, hogy egy külön fájlba beírnám a mac címeket és egy rövid scripttel hozzáfűzném a scriptemhez minden indításkor (persze egy új, temporaly fájlba, hogy ne írja felül az eredeti iptables scriptet) és azt indítanám el.

Így világosan elkülönül a mac címek "táblázata" és maga az iptables script.

Szia

Szerintem old meg PPPOE-vel akkor lesz egy ppp+ interfaced azt engedélyezed kifelé, ppp-auth filebe felveszed a felhasználókat és csak az tud belépni aki tudja.

szvsz a tunnelezes csak megbonyolitja a helyzetet/adminisztralhatosagot 200usernel kismilio tun interface. sima ipsec a lan-on linuxon/bsdn/win2k+-on is siman megy. kicsit jobban megeszi a procit mint a pptp viszont szebb megoldas es telen a kazant se kell bekapcsolni.

Legyen web alapu, az platform fuggetlen. AMugy azt nem egeszen ertem, hogy ha a dhcp.leases alapjan generalod a tuzfal scriptet akkor az miert nem jo? Abban a mar kiosztott ipcimek szerepelnek csak.

/etc/ethers

Amugy en a nagy es bonyolult rendszer helyett inkabb valami egyszerubbet csinalnek:
- mac cim beallitasa a swics portra
vagy
- az engedlyezett (vagy az osszes) mac cimeket kiengednem, es futtatnek valami mac cim - ip cim figyelo progit, ami ha loggol valami gyanusat azt megkeresnem.

A tuzfal szabalyok nagysagan meg ne problemazz mar! Majd ha tobbezer sornal jarsz es erezhetoen fogja a cpu-t akkor!

[quote:a761f2a315="hackac"]Igaz, ez eszembe sem jutott, hogy más iface lesz a téma. Hát igen, már a fától nem látom az erdőt...
Da ha már itt tartunk, ue van PPTP-nél is, nem?

Ja.

Amugy az ipsec vs pptp kerdeshez.
A pptp-t harom kattintas windowsban beallitani, az ipsec kicsit(joval) bonyolultabb. Es klienseid 99%-a ugyis windows lesz.
Ipsec:
http://people.arxnet.hu/airween/ipsec/index.html

Az ethernet-IP hozzárendelésnek a változásait monitorozza az arpwatch program.
Ha megváltozik ír egy e-mailt és mehetsz a userhez a fa testápolóval.

Amúgy a /etc/ethers és a statikus ARP a leghatékonyabb.

csinalhatsz egy weboldalt is, ahol autentikalod a felhasznalot, ha sikeres, akkor a mac cim ip cim parost felveszed adott idotartamra az engelyezett gepek koze. Ekkor en mar hasznalnek vmi egyszeru adatbazist segitsegnek.

A nem engedelyezett felhasznalokat pedig az azonosito weboldalra iranyitod.
iptables-sel lehet hogy ilyet nem lehet, de mas modszerrel biztosan.

+/1 100 sor-t nem fog megerezni a tuzfalad sokkal inkabb az szamit hogy ezelott a 100 sor elott es mogott mik vannak es milyen sorrendben.
+ a dhcp - ddns es update megoldas nem tuzfalhoz kotott - pl csinalhatsz statikus arp-t es a script a tuzfal arp tablajat updateli. viszont van 1 nagy kulombseg az arp-os es az ip-s megoldas kozott az egyik layer2-n fog szurni a masik 3-on - ami elso nekifutasra nem tunnik problemanak viszont ha beallitas arp-al az 1.2.3.4 hez 01:23:45:67:89:ab:cd mac-et attol meg johet csomag az 5.6.7.8 -rol a 01:23:45:67:89:ab:cd felol - es mivel tuzfalszabalyaid nincsenek(feltetelezhetoen managelheto switchek sem) max tippelni tudsz hogy melyik hostrol jon.
a dns-es megoldas kb olyan mintha random valasztalan ip-t es csak azoknak mondanad meg akiknek szeretned... barmelyik gepre feltesznek 1 dns-t amelyik be van regisztralva es neteznek.
de a szomoru hogy jolkepzett userek ellen ugysem tudsz mit tenni max az informatikai kivitelezest jogi megoldasokkal tamogatva.

hasonló problémába ütköztem 1-2 hónapja, úgy oldottam meg, hogy csak azokat a gépeket engedem ki a netre, akik szerepelnek a dhcpd.confban
mivel ezeket én tartom karban, így bárki mahinál a klienseken nem kap netet, mert nem szerepel az engedélyezettek körében

elég gügyén fogalmaztam, de talán meg lehet érteni

Most lehet, hogy nem értem tisztán, de nem lenne egyszerűbb egyszerűen letiltani azt, hogy a felhasználó állíthassa az ipcímet stb?
Ugye win-en ez nem nagy gond, de linuxon sem.
Akkor ugye ha nem tudja beálljtani kézzel, akkor biztos hogy a dhcp-től kapta és húzhat kifele.

ha iptables-ben mac address (-m mac --mac-source) és ip párosokhoz engedélyezed a forwardot az nem jó?

valahogy igy:
iptables -t filter -A FORWARD -i $LAN -o $INET -s $IP -m mac --mac-source $MAC -j ACCEPT
iptables -p FORWARD DROP

OpenBSD authpf. Usereket kell felvenni, akiknek /usr/sbin/authpf a shellje. Auth utan barmilyen tuzfal szabalyt behuzhat. Amig nyitva tartja a kliens az ssh ablakot, addig ki tud menni a netre, ha bezarja, vege. Vagy ha megszakad a kapcsolat, stb. Ssh kliens meg van mindenre ingyen. Szerintem ez a legegyszerubb.

én squid proxyval oldottam meg a dolgot
akit felvettem fix "IP-re", azt engedélyeztem is a squidban
és tud felhasználó/jelszó párossal is azonosítani
a kliensekhez hozzá se kell nyúlni, maradjanak DHCP-n
mindenki más kap egy IP-t egy tartományból, amivel nem fog tudni netezni

hat igy teljessen kesz megoldas nem biztos hogy van(marmint arra hogy azok es csak azok mehessenek ki akik a dhcp-tol kaptak meg az ip-t, es nem maguknak allitottak be a helyesset) hat kesztermekrol meg nem hallottam viszont a dhcpd 3 az tud dns-t updatelni es ezt felhasznalhatod arra is hogy a tuzfaladat updatelje ha nem akarod cron-bol futtatot scriptekkel ellenorizni hogy epp kiknek van(vagy mar nincs) aktiv az ipjuk dhcp-tol, 3 hibaforras ha a gepnek nincsen neve nemjegyzi be dnsbe, ha resetels dhcpkliens nem kuld release-t, ha nagy max-lease-time akkor nem er semmit - ennek a tulloldala persze hack-et igenyel de leginkabb copy-past a bind9 forrasabol.

Tudom hülyén hangzik, de aki egy hálózatba belép, annak el kell fogadnia bizonyos szabályokat.
Beléphet a saját gépére, vagy egy domain-be, aminek van saját policy-je.

Amúgy ezen kívül én is a squid-et tudnám elképzelni mondjuk squidguard-dal kiegészítve.

Mi azt csináljuk, hogy a routeren van egy lista IP/MAC párokról a /etc/ethers-ben, aztán egyszerűen arp -f. Ez azt csinálja, hogy statikusan beállítja, hogy melyik IP-hez melyik MAC tartozik. Így kimennek a csomagok netre, de ha jon a válasz IP csomag, akkor azt a router az előre megadott MAC addressre küldi el. Ha nemlétező IP, akkor valami kamu MAC-ra.

ellenseges kornyezetben, hogyha nincs admin jogod a szamitogepekhez, ezt a problemat sose fogod tudni tokeletesen megoldani.

Akarmit csinalsz, aki ert egy kicsit az informatikahoz ki fogja tudni kerulni.

[quote:79ac0b6da2="hackac"]Hát ettől tartottam én is. Azért az utolsó kérdésem fenntartom:

"Amit most igazán jó megoldásnak találnék, az valami Kerberos szerű megvalósítás, ahol kap egy tokent, és ha authentikált akkor mehet minden. A gond az, hogy ilyen megoldásokhoz mindenképpen kell (tudtommal) kliensoldali támogatás.
Mindenesetre ha más nem megy, ez még talán megoldató, ha van valami platformfüggetlen free software erre."

Hackac

A kerberos-szal vannak tapasztalataim - a kliensoldali tamogatas igencsak hianyos hozza ilyen kovetelmenyek eseten - es ha jol ertem akkor te szabad netelerest szeretnel biztositani nem pedig csak bizonyos protokollokat.

Tehat az azonositast egy reteggel lejjebb kell vinni.

Hirtelen tamadt egy jo otletem! Csinalj egy PPTP VPN szervert, es a klienseid csatlakozzanak arra (windowsban 3 kattintas beallitani).

Es kulso neteleres csak a bevpnezett gepeknek legyen.

Ezt meg meg lehet varialni mac cim figyelessel ip szetosztassal stb, hogy a visszaeleseket (masnak atadott jelszo) figyelni lehessen.

Ez nem is tunik tul bonyolultnak, egyszeruen megvalosithato, karbantarthato.
hmm?

Ha pakolsz hozza RADIUS backend-et akkor tudtommal egesz fejlett menedzsmentet lehet hozza varazsolni. (tobbszoros belepes tiltasa, idotartam figyeles, korlatozas pl. csak hetvegi eleres, stb.)

Üdv!

szerintem mielött vpn el tornászol egy nagyot nézd meg ezt
http://nocat.net/
ezt kifejezetten ilyenre gyártották

Üdv Robit