[linux] Blokovanie cudzich PC

Juraj Remenec remenec na gmail.com
Neděle Prosinec 13 22:57:15 CET 2009


Aano.
Uz som toto dostal odporucene z ineho fora a beriem to ako jednu z alternativ.
Ale preco sa mu chcem vyhnut... .
Viac ako o studentoch potrebujem mat prehlad o vsetkych zapojenych
pocitacoch v sieti.
Nejedna sa o otvorenu siet, kde by si mohol kazdy okolo-iduci volne
pripnut pocitac. Ale ak sa to uz naaahodou stane (internat), chcem aby
ten pocitac nemal pristup hlavne na NET do doby, kym ho
"zaregistrujem".

Viem, ze MAC adresa sa da zmenit ale myslim si, ze ak sa oto niekto
pokusi, tak skor ci neskor dojde ku "konfliktu", ktory si uz vsimnem.

Pre mna je dolezitejsie vediet, ktory pocitac konkretne mi robi
abnormalne aktivity na nete a tento pocitac ihned odstavit. A kedze sa
k nemu nemam sancu vzdy dostat hned, tak najlepsie na serveri. A nie
vzdy je to chyba studentov ale narazam hlavne na pripady, ked si
nejake spyware/virusy na kompoch len tak spamuju poziadavky do netu
(napr.).

Myslite, ze by bolo naozaj jednoduchsie postavit Radius server a
kazdemu kompu vytvorit jeho vlastny pristup (ucet) pred moznostou
viest len zoznam MAC adries?
J.


2009/12/13 Peter Viskup <skupko.sk at gmail.com>:
> Dobry Jurajov navrh,
> ale...pre funkcnost 802.1X potrebujes mat podporu na switchi. Cize si
> moznost nasadenia prever. Okrem toho budes musiet nastavit aj sietove
> pripojenia klientov tak, aby si boli vedome 802.1X.
> Vyhoda je moznost pouzitia autorizacie k pristupu na siet na zaklade
> externej databazy.
> Ked uz by to malo osetrovat len pristup na internet, tak by som pouvazoval
> aj nad autorizaciou cez meno/heslo na Squid proxy. Su tam rozne
> moznosti...802.1X sa mi v takomto pripade javi ako priliz sofistikovane
> riesenie - vyuziva sa najma vo vacsich organizaciach, kde je potrebne
> autorizovat klientov z viacerych VLAN na pristup k vybranym sietovym
> sluzbam.
>
> --
> Peter Viskup
>
>
> Juraj Bednar wrote:
>>
>> Ahoj,
>>
>>
>>>
>>> Mat na serveri zoznam PC spolu s ich MAC adresami.
>>> Pocitace, ktorych MAC adresy budu v zozname, budu mat pristup na
>>> internet.
>>> Pocitace, ktore sa do siete pripoja a nebudu v zozname, budu mat pristup
>>> len na nasu skolsku WWW stranku.
>>>
>>
>> Na zaciatok: myslim, ze tymto opatrenim a takto realizovanym si sposobis
>> viac problemov ako uzitku. Budes musiet udrziavat zoznam MAC adries,
>> nie je to ani zdaleka nehacknutelne (mac adresa sa da zmenit) a
>> tazko laditelne.
>>
>> Spravny postup je nasadit 802.1x autentifikaciu:
>> http://www.linux.org/docs/ldp/howto/8021X-HOWTO/index.html
>>
>> Takto nebudes riesit MAC adresy (ktore ta v zasade nezaujimaju), ale
>> mena/hesla, ktore sa ovela lahsie spravuju. Ked si student donesie
>> novy notebook, nemusis pohnut ani prstom. A ked mas v skole este
>> autentifikaciu robenu nejak inak (na maily napriklad), mozes pouzit
>> tu istu databazu.
>>
>> Vysledok bude, ze ti vzniknu dva virtualne interfejsy (na zakladne
>> VLAN) a mozes im potom spravit osobitne iptables pravidla.
>>
>> A odporucam povolit aspon shapovany pristup na internet, nic v zlom,
>> ale za par dni bude rok 2010, kludne obetuj 128Kbps pre navstevnikov,
>> nezahltia ti linku a potesia sa, ze prisli do civilizovanej krajiny,
>> kde im pustia aspon riedeny internet zadarmo.
>>
>>
>>   Juraj.
>>
>>  ------------------------------------------------------------------------
>>
>> _______________________________________________
>> https://lists.linux.sk/mailman/listinfo/linux
>> Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html
>
> _______________________________________________
> https://lists.linux.sk/mailman/listinfo/linux
> Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html
>


Další informace o konferenci linux