Hello m,
Tuesday, March 14, 2006, 10:44:02 AM, you wrote:
>> mpbc> io userei un oggetto come `argus' e loggerei *tutto*
>> Ora andro` a vedere questo Argus. Ma cosa intendi per "tutto"? Traffico
>> completo, payloads e tutto quanto?
mpbc> di solito, tranne il payload, per ragioni di volume
Ah, ecco. il problema e` che comunque e` una fottuta massa di dati, se
loggo ogni pacchetto che passa. Per quello pensavo a una soluzione del
tipo "logga solo l'inizio delle connessioni" Del resto, se non loggo il
payload, puo` essere che non abbia tanto senso loggare gli header di ogni
singolo pacchetto. Ma forse anche no. Accetto suggerimenti e idee.
Per il resto, la mia idea sarebbe:
- il dhcp ti da` un indirizzo ip
- autentico sul web l'utente.
- quando l'utente si autentica, inserisco una regola di iptables che dice:
allow questo ip solo se viene da questo MAC
- Il dhcp e` settato per un lease time standard e massimo ridicoli, tipo
60 secondi, quindi quando spegni il pc dopo 60 secondi perdi il lease.
- A questo punto, se il lease viene assegnato ad un altro, la coppia
ip/MAC non e` piu` valida e quindi devi riautenticare.
I problemi sono due:
1- purgare la "roba vecchia", cioe` occorre un meccanismo per levare da
iptables le entry di allow che non servono piu`. Qui forse la soluzione
migliore sarebbe patchare il server dhcp per poter lanciare uno script
quando assegna un lease e un altro quando lo expira.
2- difendersi da un attacco di qualcuno che conosce il sistema. A naso, mi
viene in mente che uno potrebbe monitorare lo stato della rete con ping e
arp, e quando vede che un client si spegne (non risponde piu` al ping)
prendere il suo MAC e il suo IP prima che scada il timeout del dhcp,
trovandosi di fatto autenticato al posto suo. Contro questo problema non
riesco pero` a trovare una soluzione, se non eventualmente quella di
impedire ogni comunicazione fra i client in LAN per impedire lo sniffing,
questo pero` richiede di comperare switch managed e fare una vlan per
porta, direi. Tra parentesi, questo dovrebbe essere un problema comune a
tutti i captive portals che si basano sulla coppia ip/mac per decidere se
sei libero di uscire oppure no.
--
Fabio "Kurgan" Muzzi
Pubblicita` regresso: Visita www.maneanke.net
|