1 nic - 2 alhálózat -2 DHCP szerver - Vlan nélkül

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2016. Ápr. 18., H, 11:22:11 CEST 

On 2016-04-18 10:08, Horváth Péter wrote:

> De nem megy, mert a kliens gép ARP táblájában minden dinamikus GW IP
> címhez a mikrotik router mac addresse jelenik meg.

kiveve, ha a kliens gepen static ARP bejegyzest allitokk be, az en 
altalam kivalasztott gateway IP cimevel egyutt.

Fogalmam sincs mi az amit a peldaban szeretnel erzekeltetni, ha 
hozzaferes-korlatozast, akkor ez csapnivalo megoldasa a feladatnak.

> Vagyis a mikrotik meg tudja akadályozni hogy a kliensgépek más
> gateway-on keresztül érjék el az internetet...

nem tudja megakadalyozni, a kliens dontese, hogy az arp bejegyzest 
figyelembe veszi-e vagy sem.

> Erről semmit nem találtam a mikrotik dokumentációban. A hackerek
> világában ezt "arp poisoning" -nek hívják, de hogy hívják az RFC-ben?
> 

Az RFC-ben is szerepel ilyen kifejezes, csak mas kontextusban.  A fenti 
- nevezzuk roppant finoman balgasagnak - dolgot tapasztalt ember nem 
alkalmazza, mert hamis biztonsagerzetet ad a halozatot felugyelonek.  A 
helyes megoldas, amennyiben tobb gateway van, mellette dhcp, es a 
kliensedet ra akarod kenyszeriteni az autentikaciora akkor is, ha nem 
teged hasznal:

- 802.1x hasznalata a vezetekes halozaton

egy arva keretet sem tud kuldeni a halozatba, amig nem azonositja magat 
a vegpont

- DHCP snooping + dynamic arp inspection

hiaba allit be a kliens maganak statikusan egy IP cimet, amig a switch 
nem latja, hogy az adott IP cimet DHCP-n keresztul kapta, addig a 
statikus IP nem tud forgalmazni - tovabba a nem legitim dhcp 
szerverektol erkezo valaszokat a switchek eldobjak

Az valid, hogy a mikrotiknak vannak erdekes funkcioi es olcso, de 
konkretan az altalad vazolt esetben tobbet art, mint hasznal (a halozat 
uzemeltetetojenek megcsak fogalma sem lesz rola, hogyan kerulik meg 
masok a 'vedelmet').  Kabe ahhoz tudnam hasonlitani, mikor valaki 
(asszem szinten mikrotikkal) a feszbukot es az uzenetkuldest akarta 
tiltani, aztan csodalkozott, hogy nem megy - bele sem gondolva a https 
kapcsolatokba es a mikrotik lelki vilagaba.

udv
adam

További információk a(z) Techinfo levelezőlistáról