Dużo się nazbierało więc odpowiem hurtem.
tasiorek pisze:
Serwer pppoe i program z zapisanym loginem i haslem niewidocznym dla uzytkownika trzymajacy dane w ukrytym i zaszyfrowanym pliku (np.
http://questpro.eu/kdlink/ tylko trzeba jeszcze porozmaiwac z autorem i wybrac dziwne miejsce trzymania pliku konfiguracyjnego)
Zdecydowanie to nie jest easy way. Poza tym jest za dużo różnych ale... a z kdlink nie skorzystam, bo większość klientów ma Windows 98 SE. Nie uważam się za gościa znającego się na windowsach
ale znalezienie na własnym komputerze pliku z hasłem, nawet jeśli będzie ukryte w przedziwnym miejscu nie stanowi dla mnie problemu. Możesz nawet wyprosić mnie z pokoju na czas instalacji
Czy mogę założyć, że cwany użytkownik nie będzie też tego potrafił ?! Otóż, NIE !
pectosol pisze:
Wiem wiem.... zdaję sobie z tego sprawę, tylko gdzies czytałem na forum lub na stronie głównej nnd że pakiet w skrajnych przypadkach blokuje (przez stworzenie konfliktów) nielegalnego hosta już na switchu...
To ja o tym pisałem na forum. Generalnie mi to działało więc nie wnikałem w szczegóły, ale skoro jest potrzeba to dziś w pracy potestowałem ip-sentinela dokładnie. Mam zrobione tak, że pula wewnętrznych IP nie jest ciągła, więc trzeba się wstrzelić w wolne okienko.
1) Zmieniam wklepane z ręki IP --> rezultat to komunikat "Statyczny adres IP, który właśnie skonfigurowano, jest już używany w sieci. Skonfiguruj ponownie inny adres IP." co przekonuje użytkownika, że trafił na zajęty IP i skłania do dalszego próbowania. Może próbować aż mu się znudzi
za każdym razem dostanie taki komunikat.
2) Zmieniam IP podszywając się pod inny komputer i adres MAC za pomocą grzebania z rejestrze (sterownik mojej sieciówki nie ma możliwości zmiany MAC). Po takiej akcji przestaje działać internet, nie działa też "Otoczenie sieciowe". Próba pingnięcia komputera podpiętego do innego switcha zakończyła się komunikatami "Upłynął limit czasu żądania."
Nie miałem czasu sprawdzić czy idą pingi do komputerów podpiętych do tego samego switcha co ja. Jak będzie trzeba to jutro to sprawdzę. Switch do którego był podpięty pingowany komputer to stareńki i tani 3COM 3C16985B. Wszystko to działa do momentu kiedy klient nie wyczyści i nie odświeży tablicy ARP, np. poprzez "Napraw" w XP - po takiej operacji jest i LAN i internet
Domyślnie ip-sentinel wymusza na switchu generowanie pseudo kolizji poprzez wysłanie fake MAC adresu ustawionego na 01:80:C2:00:00:01. Cytat ze specyfikacji IEEE opisujący ten specjalny adres:
IEEE 802.3 Clause 31, Point-to-point Pause function. Used to
implement L2 flow control on a whole physical link. Handled
by hardware.
A z tym hardware'm jest problem. W opisach większości, nawet tych najtańszych switchów jest informacja, że obsługują "IEEE 802.3x - Flow Control". Prawda jest taka, że np. D-Linki, które mają to mieć tą funkcję, przepuszczają taki specjalny MAC jakby nigdy nic. Trzeba by poeksperymentować z posiadanym sprzętem. Jakby co to istnieje możliwość użycia zarezerwowanego adresu "Bridge Group Address" poprzez dodanie przy uruchamianiu parametrów
--direction BOTH --poison --mac 802.1d
Nie testowałem tego ponieważ u mnie działają domyślne ustawienia, ale teoria mówi, że switch dostając ramkę z takim MAC powinien powstrzymać się od przekazywania danych na wszystkie porty poza tym, z którego dostał ramkę. Praktyka niestety przeważnie odbiega od teorii...