Hogyan használható FTP kapcsolatnál a felhasználó azonosítására a h.kártya MAC addresse? A jártas urak segitségét várom a kérdésben, alapoktól:
-alkalmas beléptető program,
-kijátszhatóság,
meg ami még eszetekbe jut.
Thx :DDD
egyéb állatfajták
Hogyan használható FTP kapcsolatnál a felhasználó azonosítására a h.kártya MAC addresse? A jártas urak segitségét várom a kérdésben, alapoktól:
-alkalmas beléptető program,
-kijátszhatóság,
meg ami még eszetekbe jut.
Thx :DDD
egyéb állatfajták
Na még egy próbálkozás, hátha akad egy mágus....
egyéb állatfajták
(#3) Satan-Claus válasza kamikaze boci (#1) üzenetére
Őőőőőő. Most egy kicsit gondolkodnom kell, de végre egy jó kérdés. :) Első nekifutásra sehogy. Kicsit utána járok, és holnapra konkrét választ is tudok adni hátha mégis, és ha igen akkor hogyan.
''Ha ideges vagy ragadj fejszét, attól megy a gonosz fej szét!''
(#4) Polesz válasza kamikaze boci (#1) üzenetére
Hmm hmmm és megint csak hmm
Szerintem meg lehet oldani, de nem egyszerű valszeg. Mondjuk a dhcp forrásába lesnék bele, mert az ugye mac szám alapján is képes azonosítani a különböző kártyákat. És le is lehet kérni bármelyik karesz mac címét, csak szépen kell szólni hozzá :)
Valszeg saját magadnak kell ezt a részt megírnod, ami nem ip hanem mac alapján azonosít.
Ha pl a Te géped a szerver, akkor van esélyed, hogy dhcpvel kiosztod a címeket mac address alapján aztán az ftp progiban már elég az ipket szűrnöd.
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.
sehogy...
a MAC address az ethernet framekben van.
mit jelent ez?
azt jelenti, hogy az egy LAN-on levo gepek eth framekkel kommunikalnak, es csak ezeknek a gepeknek a MAC addresset lathatod.
MAC address csak lokalhalon kozlekedik!
Hát én eleve helyi hálóra gondoltam itt a kérdést, lásd dhcp-s megoldás is :)
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.
(#8) Satan-Claus válasza samson (#6) üzenetére
Ez eddig vili, de én azon gondolkodtam, hogy létezhet-e egy olyan 3rd party, ami az adott hw MAC address-ét is hozzácsapja a kiküldött packet-ekhez. Így elméletileg meg lehetne oldani a dolgot, csak nem ismerek ilyet.
''Ha ideges vagy ragadj fejszét, attól megy a gonosz fej szét!''
(#9) samson válasza Satan-Claus (#8) üzenetére
nem hallottam meg ilyenrol, de nem is lenne sok ertelme...hiszen a MAC addresst barki megvaltoztathatja, s igy az auth eleg gyenge lenne
(#10) Satan-Claus válasza samson (#9) üzenetére
Igen ez tény, ennek ellenére a kérdés maga még adott. És ha esetleg encryptálva menne az adat, és a fogadónál lenne visszafejtő kulcs? :DDD
''Ha ideges vagy ragadj fejszét, attól megy a gonosz fej szét!''
(#11) samson válasza Satan-Claus (#10) üzenetére
:))
nem arra gondoltam, hogy utkozben barki megvaltoztathatja, hanem arra, hogy a kuldo megvaltoztathatja, s igy hasznalhatja jogtalanul az ftpdet.
(#12) Satan-Claus válasza samson (#11) üzenetére
Értem. :)
Viszont ő honnan tudná meg, hogy milyen MAC-ekre van szűrés a fogadónál?
''Ha ideges vagy ragadj fejszét, attól megy a gonosz fej szét!''
oo, ize, MAC cimet, ami bele vagyon egetve a kartyaba, barki hogy valtoztathat meg? fo hangsuly a barkin van, de ip csomagok bizgerelese sem egy egyszeru dolog. habar, ha tudsz oprendszert irni, ugy mar konnyu...
>>oo, ize, MAC cimet, ami bele vagyon egetve a kartyaba, barki hogy valtoztathat meg?
siman...
pl linux alatt:
ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx
>>fo hangsuly a barkin van,
szerintem barki ki tudja adni ezt a parancsot...winfos alatt is meg lehet valtoztatni....
>>de ip csomagok bizgerelese sem egy egyszeru dolog. habar, ha tudsz oprendszert irni, ugy mar konnyu...
semmi koze az ethernet framekhez az ip csomagnak...:) (az IP csomagok ethernet framekben utaznak ethernet halozaton...ennyi a kapcsolat)
Linux alatt te bármikor hazudhatod a MAC címet (ha a hálókártya modulja támogatja)
#ifconfig eth0 hw ether 00:11:22:33:44:55
Másik dolog: ha nem szeretnéd, hogy bárki is a gépedhez csatlakozzon a local hálón, csak azt akinek engeded, akkor lehet mac cím alapján szűrni. (természetesen ez is linux alatt egyszerűen megoldható)
#iptables -A INPUT -j DROP (minden csomag eldobva)
#iptables -A INPUT -s 10.0.0.50 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
(cak 10.0.0.50 -es IP című gépről aminek a mac címe 00:11:22:33:44:55 fogad el csomagokat.
Ennyi...
a MAC address megvaltoztatasa OS fuggetlen...
(#17) Tompo válasza kamikaze boci (#1) üzenetére
Mindenképp mac adresst akarsz szűrni? Szvsz inkább úgy ahogy pl. a chellonál a kártya alapján azonosítanak...
(#18) Dr.Momo válasza Satan-Claus (#8) üzenetére
Tudod mi az az OSI 7 réteg, beágyazás, kibontás?
Az FTP alkalmazási réteg, TCP-n utazik ami ISO 4. réteg. A TCP ráül az IP -re ami ISO 3. rétege. Az IP aztán ráül a hordozó keretre (ez már ISO 2. rétege), ami jelen esetben egy ethernet frame. Az ethernet frame MAC cím alapján találja meg a címzett gépet, és így megy a kibontás szépen addig amig meg nem kapod az adatodat. Tehát még 1x a MAC cím nem az IP csomagba van bele rakva, hanem az ethernet keret fejlécében helyezkedik el (mind a küldőé mind a címzetté) és ez a keret tartalmazza az adat mezejében az IP csomagot.
Én nem írtam, hogy csak Linux alatt lehet... Én csak ott tudom hogy lehet, esetleg ha nagyon muszály még NetBSD alatt is átműtöm. :)
:))
tobbnyire en is kerulom a W betuvel kezdodoket.(vagy M betuvel kezdodik?)
A chellonál is egy linux-os szerver router (esetleg hardveres, de azon is unix alapú rendszer fut) van és az is MAC és IP cím alapján szűr (ahogy már fentebb leírtam)
Vmi más alapján is, mert hálokari csere után hiába állítottuk be a régi mac adresst nem lehetett csatlakozni, csak némi ügyfélszolgálati huzavona után, az IP pedig dinamikus.
nagyon erdekes
dhcp-vel kapod az IP-t, a MAC address szerint.
mast nem szurnek, ez 100%
Másik kártyával is ua az IP. Kb 2-3 havonta változik, kipróbáltam hogy két gépen ua a MAC adresst lőttük be, és csak az eredetivel lehetett csatlakozni.
igen, minek valtoztatnak surubben?
2 kartya, ugyanaz a MAC, az egyik mukszik, a masik nem. ez nagyon gyanus.
szerintem valamit elcsesztetek
milyen OS? biztos, hogy atallitottatok a MAC-ot?
2K, igen. Kártya konfig-speciális-hálózati cím-stb.
Ha DHCP akkor miért is ők változtatják, ha napjában töbször fel-le csatlakozom?
>>Ha DHCP akkor miért is ők változtatják, ha napjában töbször fel-le csatlakozom?
ezt a kerdest nem ertem, lecci ujra ird le
''igen, minek valtoztatnak surubben?'' ha DHCP osztja ki akkor minden csatlakozásnál (modem-re gondolok) uj IP-t kapnék...
adress resolution protocol
nézzetek utána
while (!sleep) sheep++;
most ezt kinek mondod?:)
szoval
ha dhcp osztja az IP-t(es mas egyebet), az nem feltetlenul jelenti azt, hogy mindig mas IP-t kapsz...
dhcp 3 dolgot tud:
-Automatic allocation—DHCP assigns a permanent IP address to a client
-Dynamic allocation—DHCP assigns an IP address to a client for a limited period of time (or until the client explicitly relinquishes the address).
-Manual allocation—The network administrator assigns an IP address to a client and DHCP is used simply to convey the assigned address to the client.
DHCP-nél meg lehet adni egy dinamikus tartományt, pl 192.168.1.100 - 192.168.1.200 -ig ossza ki, akkor bejelentkezések sorrendjében kitölti az 100 - 200 ig az IP címeket, és lehet MAC címhez rendelni IP címet ezen kívül, ezt nem ossztja ki, csak akkor, ha a megadott MAC című gép kéri.
Példa, lásd dhcpd.conf:
#ez a tartomány amiért ''versenyezhetnek'' a hálókártyák
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.100 192.168.1.200;
option broadcast-address 192.168.1.255;
option routers 192.168.1.1;
option domain-name-servers 192.168.1.1, 193.225.12.58, 193.224.128.1 ;
}
#ezek meg a ''FIX'' MAC-hez rendelt IP címek:
# gep1
host apatoke {
hardware ethernet 00:50:04:34:A7:5F;
fixed-address 192.168.1.7;
}
# gep2
host probe {
hardware ethernet 00:60:52:0B:15:D4;
fixed-address 192.168.1.9;
}
ennyi!
Másik:
Létezik ugymond (Linux alatt biztos) egy arping nevezetű program, amivel meg tudod nézni, hogy milyen IP címhez mi a kártya MAC címe...
#arping -I eth0 192.168.1.2
ARPING 192.168.1.2 from 192.168.1.1 eth0
Unicast reply from 192.168.1.2 [02:50:04:0B:49:95] 0.935ms
Unicast reply from 192.168.1.2 [02:50:04:0B:49:95] 2.631ms
Unicast reply from 192.168.1.2 [02:50:04:0B:49:95] 0.777ms
ÜDV!
Kivancsi lennek, hogy alltassz te mac addresst:)
Látom, tombol a brainstorming :DD
Viszont nem teljesen világos, hogy van megoldás vagy nincs...
Valamilyen más azonosítást tudtok ajánlani?
egyéb állatfajták
Tehát ha azt akarod, hogy FTP-dre a local hálóról csak az engedélyezett MAC címről lehessen belépni, akkor igen megoldható. (Linux alatt iptables)
ha nem azonos szegmensen tartozkodik a ket gep (van koztuk legalabb egy router (tcp/ip router)), akkor a mac cimet elfelejtheted, mert nem a tenyleges kliens mac cimet fogja a csomag tartalmazni, hanem a szerverhez legkozelebbeso router valamely portjanak mac cimet.
Finrod
Ezért írtam lokál hálót...
(#39) samson válasza kamikaze boci (#35) üzenetére
>>Valamilyen más azonosítást tudtok ajánlani?
password authentication nem jo?
public key auth?
Ha valaki tud megoldást Windows98SE alatt a MAC-Adress megváltoztatására, az szóljon, nagyon megköszönném...:)
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)