[FUGSPBR] IPFW - MAC Address

Qua Ago 21 14:05:53 BRT 2002

On Wed, 21 Aug 2002 13:01:36 -0300
Capriotti <capriotti em portal7.com.br> wrote:

> Isso não resolve a situação se:
> 
> a pessoa força o IP manualmente.
> 

tem razão: após um pouco de 'ginastica mental' "achei" uma solução mais simples :

acrescentar uma entrada 'estática' na tabela arp (arp -s); se alguem puser o IP 'na mão' (em outra maquina)  não vai funcionar....

fiz o teste (thinkpad=Free4.6, tecnica=RH7.3):

[thinkpad] ~# arp -a
tecnica (192.168.71.13) at 00:50:da:b5:8c:d0 on ed1 permanent [ethernet]
[thinkpad] ~#

-->> thinkpad 'pinga' tecnica e vice-versa: comunicação OK

[thinkpad] ~#arp -S tecnica 00:50:da:b5:8c:d1 192.168.71.13
                     ( note o mac address 'errado' )
[thinkpad] ~# arp -a
tecnica (192.168.71.13) at 00:50:da:b5:8c:d1 on ed1 permanent [ethernet]
[thinkpad] ~#

thinkpad *não pinga* tecnica e vice-versa..... perdeu a comunicação !!

apos um arp -ad, volta a funcionar "normal".....

> ou
> se for trocada a placa de rede no sistema.

em qualquer situação, quando se pretende estabelecer regras baseadas em MAC, qualquer mudança de hardware obriga a alterar as regras....

Em qualquer das soluções, a segurança ainda não é completa....... pode-se, com alguma facilidade, descobrir a associação entre MACs e IPs da rede e, quando quizer, "por na mão" o IP *e* o MAC address....

'amarrar' por MAC é só mais uma camada na 'cebola' chamada segurança.......

[]s

-- 
Antonio Torres
antonio.torres em newspace.net.br
________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr