[Fedora-users-br] IP + MAC
Hugo Cisneiros
hugo em devin.com.br
Seg Fev 13 20:02:00 UTC 2006
Pedro Neto wrote:
> Ola a tds,
Olá
> Alguem sabe como eu faço para que, quando algum cliente trocar o ip ou a
> mascara das estaçao ela para de navegar?
> Eu ja uso o maclist, mas minha preocupacao maior é quando um cliente
> trocar a mascara de sua maquina ele comece a enxergar a rede toda.
Para restringir, basta apenas que na regra do iptables o MAC esteja
associado a um IP, e so passa trafego por ele. Exemplo:
iptables -A FORWARD -s 192.168.0.1 \
-m mac ! --mac-source 00:60:08:91:CC:B7 \
-j DROP
Isso diz que se caso o IP 192.168.0.1 nao esteja navegando com o
endereco MAC 00:60:08:91:CC:B7, ele dá um DROP e nao deixa nenhum pacote
passar, fazendo com que o IP não navegue.
O que pode ocorrer é o usuario mais avançado spoofar o endereço MAC da
placa de rede e pegar outros IPs. Se esse usuário tiver em maos o
controle dos MACs e souber outros MACs associados a outros IPs, ele
consegue tomar o lugar de outro IP/MAC.
Para contornar isso, eu penso que a solucao de criar uma especie de VLAN
diferente para cada IP, cada um com uma sub-net diferente, seja a
solução. Porque senão o cara mais esperto pode colocar a placa de rede
em modo promíscuo (nasty!), fazer um scan de arp pra pegar os MAC e
placas de rede, e sair se divertindo por ai.
Com a VLAN, o IP/MAC fica isolado. Geralmente os provedores wireless nao
fazem isso porque: 1) não sabem fazer; 2) não se importam; 3) não querem
gastar dinheiro para um mínimo de segurança :)
Apropósito, aqui vai uma URL com dicas sobre o assunto:
http://www.zago.eti.br/firewall/iptables-mac.txt
> Grato
>
> *+-------------------------------------------------------+*
> | *Pedro H. A. Neto*
> | Analista de Tecnologia da Informatica
> | *MSN* pedrohaneto em hotmail.com
> | *UIN* 196.039.600
> | *Orkut* http://www.orkut.com/Home.aspx?xid=2023086171787910905
> *+-------------------------------------------------------+*
--
[]'s
Eitch
http://www.devin.com.br/eitch/
"Talk is cheap. Show me the code." - Linus Torvalds
Mais detalhes sobre a lista de discussão Fedora-users-br