Topic: Impedire l'accesso a client indesiderati

[Pappice]

Domanda relativa alla sicurezza (diciamo così): ho un SME Server che funge da gateway per alcuni PC, connessi al server attraverso uno switch.
Su SME ho creato una rete locale con sottmaschera 225.225.225.248. il che in teoria dovrebbe dare l'accesso solo a 7 client, giusto?
Ho altresì creato 6 host, ciascuno identificato da un nome computer, un IP locale e un MAC address: a questo punto ogni PC riceve il suo IP in maniera statica (DHCP disabilitato).
Il problema è che se uno di questi IP è libero (PC spento) e un altro utente, magari con un portatile, si colleta al server, se configura la sua sk di rete con l'IP libero, riesce a collegarsi a Internet: c'è un modo di impedire questo?
Forse abilitando DHCP?

[Stefano]

Domanda relativa alla sicurezza (diciamo così): ho un SME Server che funge da gateway per alcuni PC, connessi al server attraverso uno switch.
Su SME ho creato una rete locale con sottmaschera 225.225.225.248. il che in teoria dovrebbe dare l'accesso solo a 7 client, giusto?
Ho altresì creato 6 host, ciascuno identificato da un nome computer, un IP locale e un MAC address: a questo punto ogni PC riceve il suo IP in maniera statica (DHCP disabilitato).
Il problema è che se uno di questi IP è libero (PC spento) e un altro utente, magari con un portatile, si colleta al server, se configura la sua sk di rete con l'IP libero, riesce a collegarsi a Internet: c'è un modo di impedire questo?
Forse abilitando DHCP?

se è l'unico gateway possibile ed hai squid abilitato (lo è di default) in trasparent mode (lo è di default) puoi creare una regola su squid per filtrare i mac address

riferimenti sulla direttiva arp qui
http://www.ysn.ru/docs/squid/conf/access_controls.htm
(anche se non so se squid per sme sia compilato con l'opzione richiesta)

ed esempio di applicazione/creazione di regole di squid su sme qui http://forums.contribs.org/index.php?topic=33613.0

HTH

Ciao

Stefano

[Pappice]

Grazie mille, nei prossimi giorni cercherò di farmi una cultura e poi farò sapere...  

[Pappice]

Ehm... se non ho capito male, con le direttive ARP posso filtrare l'accesso HTTP sulla base del MAC address...
quello che voglio ottenere è che un dato IP sia attribuito solo a un dato PC, e che quindi se un altro PC si collega fisicamente alla mia rete SME non riceva alcun IP... si può fare questo?  

[Stefano]

Ehm... se non ho capito male, con le direttive ARP posso filtrare l'accesso HTTP sulla base del MAC address...
quello che voglio ottenere è che un dato IP sia attribuito solo a un dato PC, e che quindi se un altro PC si collega fisicamente alla mia rete SME non riceva alcun IP... si può fare questo?  

allora..

- disabilita il dhcp
- assegna alle macchine che ti interessano: vai in "nomi ed indirizzi" e per ogni client inserisci il suo nome host, lo setti come "locale", attribuisci un ip e inserisci il mac address

in questo modo, senza dhcp, nessun client "alieno" prende in automatico un ip.

Naturalmente se un pinco pallino qualsiasi ha modo di leggere la conf di un altro pc...

HTH

Ciao

Stefano

[Pappice]

Ho fatto proprio così, ed ovviamente funziona...
se però con un altro PC imposto quell'IP, se lo prende tranquillamente, anche xchè la specifica del MAC address è opzionale e vale solo per DHCP (sempre se ho capito bene)...
probabilmente questo problema non ha soluzione (o almeno non in modo semplice??)  

[Stefano]

Ho fatto proprio così, ed ovviamente funziona...
se però con un altro PC imposto quell'IP, se lo prende tranquillamente, anche xchè la specifica del MAC address è opzionale e vale solo per DHCP (sempre se ho capito bene)...
probabilmente questo problema non ha soluzione (o almeno non in modo semplice??)  

se ilo dhcp è disabilitato ed io imposto su un pc "alieno" dati corretti (ip/netmask/gateway/dns) chiaramente funziona..

il problema non è nel dhcp..

ciao

Stefano

p.s. il blocco a livello di mac address per la navigazione forse lo puoi fare con squid (come già suggerito), altrimenti lo devi ottenere tramite firewall;

non mi pare che in hosts.deny si possano specificare i mac address

[Stefano]

probabilmente questo problema non ha soluzione (o almeno non in modo semplice??)

proprio in questi giorni se ne è parlato..

http://forums.contribs.org/index.php?topic=37770.0

per la serie: mettiti il cuore in pace..

oppure devi documentarti su radius e vedere se puoi ottenere qualcosa

Ciao

Stefano

AGGIUNTA: rileggi il post sopra indicato.. ho trovato forse qualcosa che fa al caso tuo e sembra essere molto interessante
ciao

[Stefano]

Domanda relativa alla sicurezza ]zac[

rileggi questo 3ad:

http://forums.contribs.org/index.php?topic=37770.0

ho trovato sul repository Dag un interessante rpm arpalert..

HTH

Ciao

Stefano