From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <01c401c0bccf$787416e0$3809640a@mentepspb.msk.ru> From: =?koi8-r?B?98/My8/XIPPF0sfFyg==?= To: References: <1991658562.20010404091352@chat.ru><01a001c0bcc6$628984e0$3809640a@mentepspb.msk.ru> <1024346968.20010404095841@chat.ru> MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 5.00.2417.2000 X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2314.1300 Subject: [mdk-re] =?koi8-r?B?UmU6IFttZGstcmVdIFJlOiBbbWRrLXJlXSBSRTogW21kay1yZV0g5A==?= =?koi8-r?B?18Eg18/Q0s/TwQ==?= Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru X-Reply-To: =?koi8-r?B?98/My8/XIPPF0sfFyg==?= List-Help: List-Post: List-Subscribe: , List-Id: Mandrake/RE discussion list List-Unsubscribe: , List-Archive: Date: Wed Apr 4 10:21:13 2001 X-Original-Date: Wed, 4 Apr 2001 10:21:22 +0400 Archived-At: List-Archive: List-Post: ----- Original Message ----- From: Ivan Kudryashov To: Волков Сергей Sent: Wednesday, April 04, 2001 9:58 AM Subject: Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса > Hello, Волков Сергей! > > 04.04.2001 09:16:20, you wrote: > > > >> Зарегистрировать всех инет-юзеров на сервере как пользователей, > >> раздать им статические IP, написать скрипт, который врубает > >> маскарадинг для IP пользователя при входе в систему и автоматом > >> вырубает его же при выходе. Тогда для работы в инете пользователь > >> обязан будет войти на сервер (можно заставить делать это через telnet, > >> или ещё как-нибудь). Соответственно, будет безразлично, с какой тачки > >> входит пользователь, но при его входе будет подниматься IP, > >> зарегистрированный на него. Естественно, обойти это можно, но только > >> путём кражи или подбора пароля, но надёжность пароля - головная боль > >> пользователя. И, кстати, DHCP в такой ситуации не нужен вообще. > > ВС> Иван ты предлагаешь написать прогу которая грубо говоря является клиент > ВС> серверной и при условии правильной авторизации пользователь работает в инете > ВС> в противном случае нет > > Да. Прошу пардону за некоторую сумбурность изложения, я сегодня по > дороге на работу ногу подвернул, болит, зараза, соображать мешает... > > ВС> Просто я к чему -- около двух лет назад у меня вставала такая > ВС> проблема в общежитиях университета РУДН, тогда попытка решить эту > ВС> задачу остановилась на уровне списка разрешенных MAC адресов, > ВС> однако народ быстро начал это дело пытаться обойти, в добавок ко > ВС> всему было выявлено что некоторые (особенно старые) сетевые карты > ВС> (ISA) могут самопроизвольно менять МАК адреса и так > > Про что я и говорю. В принципе, вопрос можно поставить так: можно ли > как-то идентифицировать компьютер, подключенный к сети, при условии, > что его пользователь может произвольным образом менять _любые_ его > настройки? Общий ответ на этот вопрос: если сетка - Ethernet, то > нельзя. Если витая пара, то можно попробовать сделать проверку > авторизации на уровне хабов, но это довольно нетривиальная задача. Я, > например, даже отдалённо не представляю, как за неё браться (хотя > способ, конечно, есть, надо в доках копаться). ну не знаю хаб устройство тупое и ему не прикажешь отдавать все адреса и даже не обратишся к нему :(( > > По этой причине единственный выход - авторизовать не комп, а > пользователя. Кстати, в win-сетях это можно сделать на уровне домена. > Очевидный, дедовский способ авторизации - заставить ввести пароль. > Дальше всё понятно. > это обходится нажатием простого ESC, однако согласен что по умолчанию всем пользователям присоить по DHCP можно принудительно левую сеть с роутингом в никуда > Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не > писать собственные проги, а просто прописать поднятие маскарадинга для > IP, зарегистрированного на пользователя, в его входных скриптах. И > отключение, соответственно, при выходе. Естественно, надо запретить > редактирование этих скриптов пользователю. Надо в инет - зайди по ssh а как менять на ходу IP если пользователь вошел с другого IP address > или telnet, введи пароль - и всё работает. Как только вышел - всё > отрубилось. Единственное неудобство - болтающееся на десктопе окно > телнета. Но это не страшно, ИМХО. При таком способе любые манипуляции > с IP, MAC - адресами, даже точкой подключения к сети, ничего не дают. > Если пользователь изменит данную ему настройку, он просто не выйдет в > инет (ну, изменил ты IP на соседский, пароль-то свой остался... так > что при входе поднимется не его, а твой IP). Надёжность этой системы > ограничивается только надёжностью криптозащиты и корректностью > действий пользователей по защите своих паролей от компрометации. Но > тут надо просто договориться, что каждый будет платить столько, > сколько отработано от его имени, и никаких разговоров на тему "я не > работал, меня хакнули". Хакнули - значит хреново пароль бережёшь. > > Если предусматривать дальнейшее расширение сети - можно действительно > написать CS-программку, которая будет заниматься всеми описанными > делами на клиенте. Но при объёме в десяток - другой пользователей это, > ИМХО, излишняя трата времени и сил. а еще эта задача похоже очень актуальна для домашних сетей, которых так много сейчас?? кто знает как она сейчас решается??? > > ------------------------------------------- > С уважением, > Ivan Kudryashov ICQ 1547081 > > > > _______________________________________________ > Mandrake-russian mailing list > Mandrake-russian@altlinux.ru > http://altlinux.ru/mailman/listinfo/mandrake-russian >