Nicolas Tinnefeld wrote:
Bitte den Vorredner leben lassen! (ich hab's mal von Hand wieder dazugeschrieben)
Thomas Masaninger wrote:
habe wiedermal ein kleines Problem, und zwar muß ich für ein Studentenheim einen Server installieren, mit einem DHCP, DNS und Squid mit Antivirus, so nicht wircklich ein Probelm aber ich muß dafür sorgetragen das wenn ein ClientPC sich eine andere IP einträgt als die im von DHCP Server zugewisen und damit versucht ins Internet zu gehen, keine erlaubnis bekommt.
Habt Ihr irgend eine Idee wie ich das eralisieren könnte?
[...]
sehr simpel zu lösen ist das mit IPTABLES, die Du ja sicherlich schon hast oder noch installieren willst, um eine Firewall zu integrieren. ;-)
Du bist sicher? Ich verstehe das etwas anders, was Thomas will.
Dann kannst Du den externen Zugriff auf eine von dir definierte IP-Range im DHCP beschränken. Maschinen mit IP's die Du nicht erlaubst bekommen keinen Zugriff auf den Proxy. Weiterhin kannst Du mit ACL's im Squid arbeiten um zusätzlich abzusichern. Eine weitere Möglichkeit wäre die Vergabe von IP's auf Basis der MAC Adresse. Dafür müssen aber alle Systeme bekannt sein. User die nur mal zu Besuch sind bekommen dann automatisch eine IP aus der Range die Du für alle "Anderen" reserviert hast. Hier kannst Du ja entscheiden, ob diese Range Zugriff auf den Proxy bekommt oder eben nicht. Solltest Du einen DSL Router nutzen, so musst Du dort mal schauen. Bei vielen Routern kann man den Zugriff des eigenen Netzes auf externe Systeme/Inhalte blocken. Weiterhin gibt es diverse Filtertools, auch Contentfilter, wie Squidguard, Dansguard etc.
alle deine Lösungen verhindern IMO NICHT, das userA sich die IP-Adresse von userB gibt und dann surft, oder? Und so wie ich Thomas verstehe, will er genau das verhindern.
Eine Lösung dafür wäre ein Hub/Switch, der via Management Software Ports sperrt, wenn die Mac-Adresse/IP-Adresse nicht der vorher konfigurierten Adresse entspricht. Diese Teile kosten aber richtig Geld.
Alle iptables Lösungen greifen doch nur auf IP-Ebene, oder? Hier kann ich IMO nicht auch noch auf MAC-Adresse filtern. Und alle Lösungen via acl in Squid oder feste Zuordnungen im DHCP verhindern nicht das manuelle setzen der IP-Adresse auf die "legale" Adresse eines anderen Benutzers.
Sorry, aber mir fällte dafür keine einfache Lösung ein.
Andre
Hallo Andre, hallo Thomas. Fully ACK. Ich habe das leider nicht paranoid genug gesehen ;-) Natürlich helfen meine Ansätze nicht, wenn sich ein nicht autorisierter User einfach eine IP Adresse eines autorisierten Users schnappt. Relativ schnell und günstig wäre vielleicht noch eine Lösung über VPN, z.B. OpenVPN. OpenVPN ab Version 2.x arbeitet vernünftig mit SSL Zertifikaten und kann IP's (für Tunnelendpunkte) aus einem dafür definierten Adresspool vergeben. Einfach auf dem Gateway/Proxy installieren und konfigurieren und einmalig die Zertifikate verteilen. Den Tunnel nur von autorisierten Systemen aufbauen lassen. Also Filtern nach IP um Zugriff auf den Tunnel zu gewähren, Tunnel aufbauen und Zugriff auf alle Dienste des Gateways nur noch über die Tunnel erlauben (filtern). Der Tunnel läuft dann über ein sog. Transfernetz. Da die Tunnel entweder per Keys oder per SSL Zertifikaten gesichert sind, sollte es nicht mehr möglich sein auf den Proxy zuzugreifen. Ein IP Adressen-Klau scheidet dann aus, da dies nicht die Authentifizierung des Systems (Tunnel), gewährleistet. Natürlich verkompliziert diese Lösung natürlich das interne Netz ein wenig. Das Routing muss überdacht werden, etc. Allerdings ist das noch die einfachste und günstigste Lösung, die ich zur Zeit sehe. Eine ähnliche Lösung habe ich mehrfach für WLAN's im Einsatz. Klappt recht gut und ist nicht allzu kompliziert. Gruss, Nico