ALT Linux Community general discussions
 help / color / mirror / Atom feed
From: "Волков Сергей" <vserge@menatepspb.msk.ru>
To: <mandrake-russian@altlinux.ru>
Subject: [mdk-re] Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса
Date: Wed Apr  4 10:21:13 2001
Message-ID: <01c401c0bccf$787416e0$3809640a@mentepspb.msk.ru> (raw)
In-Reply-To: <1024346968.20010404095841@chat.ru>

----- Original Message -----
From: Ivan Kudryashov <jony@chat.ru>
To: Волков Сергей <mandrake-russian@altlinux.ru>
Sent: Wednesday, April 04, 2001 9:58 AM
Subject: Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса


> Hello, Волков Сергей!
>
> 04.04.2001 09:16:20, you wrote:
>
>
> >> Зарегистрировать   всех  инет-юзеров  на  сервере  как  пользователей,
> >> раздать   им   статические   IP,   написать  скрипт,  который  врубает
> >> маскарадинг  для  IP  пользователя  при  входе  в  систему и автоматом
> >> вырубает  его  же  при  выходе.  Тогда для работы в инете пользователь
> >> обязан будет войти на сервер (можно заставить делать это через telnet,
> >> или  ещё как-нибудь). Соответственно, будет безразлично, с какой тачки
> >> входит   пользователь,   но   при  его  входе  будет  подниматься  IP,
> >> зарегистрированный  на  него. Естественно, обойти это можно, но только
> >> путём  кражи  или подбора пароля, но надёжность пароля - головная боль
> >> пользователя. И, кстати, DHCP в такой ситуации не нужен вообще.
>
> ВС> Иван ты предлагаешь написать прогу которая грубо говоря является
клиент
> ВС> серверной и при условии правильной авторизации пользователь работает в
инете
> ВС> в противном случае нет
>
> Да.  Прошу  пардону  за  некоторую сумбурность изложения, я сегодня по
> дороге на работу ногу подвернул, болит, зараза, соображать мешает...
>
> ВС> Просто  я  к  чему  --  около двух лет назад у меня вставала такая
> ВС> проблема  в общежитиях университета РУДН, тогда попытка решить эту
> ВС> задачу  остановилась  на  уровне  списка  разрешенных MAC адресов,
> ВС> однако  народ  быстро начал это дело пытаться обойти, в добавок ко
> ВС> всему  было выявлено что некоторые (особенно старые) сетевые карты
> ВС> (ISA) могут самопроизвольно менять МАК адреса и так
>
> Про  что  я и говорю. В принципе, вопрос можно поставить так: можно ли
> как-то  идентифицировать  компьютер, подключенный к сети, при условии,
> что  его  пользователь  может  произвольным образом менять _любые_ его
> настройки?  Общий  ответ  на  этот  вопрос:  если сетка - Ethernet, то
> нельзя.  Если  витая  пара,  то  можно  попробовать  сделать  проверку
> авторизации  на уровне хабов, но это довольно нетривиальная задача. Я,
> например,  даже  отдалённо  не  представляю,  как за неё браться (хотя
> способ, конечно, есть, надо в доках копаться).
ну не знаю хаб устройство тупое и ему не прикажешь отдавать все адреса и
даже не обратишся к нему :((

>
> По  этой  причине  единственный  выход  -  авторизовать  не  комп,   а
> пользователя.  Кстати, в win-сетях это можно сделать на уровне домена.
> Очевидный,  дедовский  способ  авторизации  - заставить ввести пароль.
> Дальше всё понятно.
>
это обходится нажатием простого ESC, однако согласен что по умолчанию всем
пользователям присоить по DHCP можно принудительно левую сеть с роутингом в
никуда

> Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не
> писать собственные проги, а просто прописать поднятие маскарадинга для
> IP,  зарегистрированного  на  пользователя,  в его входных скриптах. И
> отключение,  соответственно,  при  выходе. Естественно, надо запретить
> редактирование  этих скриптов пользователю. Надо в инет - зайди по ssh

а как менять на ходу IP если пользователь вошел с другого IP address

> или  telnet,  введи  пароль  -  и всё работает. Как только вышел - всё
> отрубилось.  Единственное  неудобство  -  болтающееся на десктопе окно
> телнета.  Но это не страшно, ИМХО. При таком способе любые манипуляции
> с  IP, MAC - адресами, даже точкой подключения к сети, ничего не дают.
> Если  пользователь изменит данную ему настройку, он просто не выйдет в
> инет  (ну,  изменил  ты IP на соседский, пароль-то свой остался... так
> что  при  входе поднимется не его, а твой IP). Надёжность этой системы
> ограничивается   только   надёжностью   криптозащиты  и  корректностью
> действий  пользователей  по  защите своих паролей от компрометации. Но
> тут  надо  просто  договориться,  что  каждый  будет  платить столько,
> сколько  отработано  от  его имени, и никаких разговоров на тему "я не
> работал, меня хакнули". Хакнули - значит хреново пароль бережёшь.
>
> Если  предусматривать дальнейшее расширение сети - можно действительно
> написать  CS-программку,  которая  будет  заниматься  всеми описанными
> делами на клиенте. Но при объёме в десяток - другой пользователей это,
> ИМХО, излишняя трата времени и сил.

а еще эта задача похоже очень актуальна для домашних сетей, которых так
много сейчас??
кто знает как она сейчас решается???
>
> -------------------------------------------
> С уважением,
> Ivan Kudryashov <jony@chat.ru> ICQ 1547081
>
>
>
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
>




  reply	other threads:[~2001-04-04 10:21 UTC|newest]

Thread overview: 16+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2001-04-04  7:55 Зуев Дмитрий Федорович
2001-04-04  8:48 ` [mdk-re] RE: [mdk-re] Двавопроса Sergei
2001-04-04  9:05 ` [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Ivan Kudryashov
2001-04-04  9:16   ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса Волков Сергей
2001-04-04  9:50     ` [mdk-re] Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Ivan Kudryashov
2001-04-04 10:21       ` Волков Сергей [this message]
2001-04-04 19:07         ` [mdk-re] " Ivan Kudryashov
2001-04-05  2:00         ` [mdk-re] Re: [mdk-re] Два вопроса Mikhail Zabaluev
2001-04-05 10:08           ` [mdk-re] " Волков Сергей
2001-04-04  9:48   ` [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ Alexandr Zhegallo
2001-04-04 10:13     ` Re[2]: " Ivan Kudryashov
2001-04-04 21:43   ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса Ivan Zakharyaschev
2001-04-04 22:07     ` [mdk-re] Re: [mdk-re] RE: [mdk-re] Два в опроса Mikhail Nikitin
2001-04-04 23:54       ` [mdk-re] Re[2]: " Maksim Otstavnov
2001-04-04 21:05         ` Mikhail Nikitin
2001-04-04 22:57           ` [mdk-re] Re[2]: " Maksim Otstavnov

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to='01c401c0bccf$787416e0$3809640a@mentepspb.msk.ru' \
    --to=vserge@menatepspb.msk.ru \
    --cc=mandrake-russian@altlinux.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git