Перейти к содержимому
Калькуляторы

Аппаратный МАС заменитель?

Гость

Вечная тема привезки к юзера к маку.

А что если сделать коробочку, которая вешается на кабель и меняет MAC на всех проходящих ethernet пакетах? Т.е. юзер может менять сетевуху как хочет - его МАС действует только до коробочки, дальше идет MAC зашитый в коробочку, по нему идет подсчет трафа и все что нужно. Остается вопрос себистоимости, и правильной работы ARP|RARP протоколов. Выскажитесь, обсудим идею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco 7206 например с этим вполне справится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тема подымалась ранее:http://forum.nag.ru/viewtopic.php?t=711

 

Можно и Cisco(для эстЭтов :-), а можно самый простенький SOHO-роутер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ещё можно поднять PPPoE и не забивать голову решением нерешаемых в принципе проблем, связанными с применением небезопасных технологий.

 

Всякие привязки MAC'ов к IP или к порту свитча только создают дополнительный геморрой для легальных пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вечная тема привезки к юзера к маку.

А что если сделать коробочку, которая вешается на кабель и меняет MAC на всех проходящих ethernet пакетах? Т.е. юзер может менять сетевуху как хочет - его МАС действует только до коробочки, дальше идет MAC зашитый в коробочку, по нему идет подсчет трафа и все что нужно. Остается вопрос себистоимости, и правильной работы ARP|RARP протоколов. Выскажитесь, обсудим идею.

Ну на первый взгляд идея решает все проблемы,

но это только на первый.

 

Q1. Что мешает пользователю включится мимо это шутуки?

A1. Да ничего кроме MAC привязки на маршрутизаторе.

Q2. А нах она тогда нужна?

A2. Да нафиг не нужна. Если только не обеспечивает шифрование и (или) парольный доступ.

 

Как видно из A2 все-таки решение c pppoe дает теже преимущества. Soho роутеры умеют pppoe.

 

Вопрос как всегда упирается в деньги. Так как подключение

пользователя производистся по себестоимости кабель+сетевая карта и пользователь не согласен платить больше.

 

А так можно много чего предложить. Ну так на вскидку - сетевая и коммутатор шуфруют трафик несимметричными ключами как в ssh.

Правда того же можно добиться и с помощю ipsec.

 

Пока пользователь не согласен платить за сервис его не надо

предоставлять. Если пользователь согласен каждый месяц разбираться откуда траффик взялся вместо того чтобы заплатить чуть больше, пусть оно так и будет.

Тут два варианта:

оператор берет за безопасность, а пользователь платит;

они имеют обоюдный секс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А что если сделать коробочку, которая вешается на кабель и меняет MAC на всех проходящих ethernet пакетах? Т.е. юзер может менять сетевуху как хочет - его МАС действует только до коробочки, дальше идет MAC зашитый в коробочку

Сделать самому реально только на 10мбит, и то будет не самым дешевым решением.

Имхо проще научится впаиваль в свич однокристалку, которая по ресету будет зашивать в ядро свича по SMI фиксированную lookup table с маками пользователей, а потом ее "замораживать"

Но при подключении нового юзера - перешивать таблицу :(

 

НО!

Можно зашить таблицу один раз, и заставлять пользователей вписывать свои маки вручную!

Во какие идеи с похмелья в голову приходят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость

tim777 - насчет Q1 - а кто сказал, что абонент имеет доступ к устройству? Устройство стоит в этажном ящике, который как минимум на замке.

PPPoE - есть недостатки, даже CHAP можно подламывать, счас мощьности компов хватит взломать за день-другой натыренные хэши.

UglyAdmin - в чем нерешаемость? если это дороже чем свичи с порт-базед секурити - это другое дело. А насчет привязки - яж говорю, к юзеру привязки нет, пусть меняет себе че хочет, просто в сеть его пакеты пойдут под определенным МАСом. Возможны сложности с ARP протоколом, но я и задавал вопрос - будут проблемы с АРП или нет.

Barsick - насчет себистоимости - я не очень представлюя необходимую элементную базу, но сетевухи 100 мбит счас стоят 4 бакса.

jab - может я не то увидел, но такая циска стоит от 4000 тыр зелени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
но сетевухи 100 мбит счас стоят 4 бакса

На клиента по две сетевухи плюс работа, получается 10$ порт если серия будет большая. Цена порта управляемого свича около 15$, помоему ты ничего не выгадаешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сломать хэши можно только если man_in_the_middle, только кто ж ему даст ? :-)

Вообще стоимость такой атаки будет многократно превышать стоимость того что можно с ее помощью

украсть, а вероятность того что при этом поймают - 99%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
jab - может я не то увидел, но такая циска стоит от 4000 тыр зелени.

 

Что, мало ? Ну возьмите 7603 тогда, и каждому пользователю продайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну я же ответил на вопрос "себистоимости" ? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас