=?iso-8859-1?q?=5Bmdk-re=5D_Re=3A_=5Bmdk-re=5D_RE=3A_=5Bmdk-re=5D_=E4=D7?= =?iso-8859-1?q?=C1_=D7=CF=D0=D2=CF=D3=C1?=

[Ivan Kudryashov]

Hello, Волков Сергей!

04.04.2001 09:16:20, you wrote:


>> Зарегистрировать   всех  инет-юзеров  на  сервере  как  пользователей,
>> раздать   им   статические   IP,   написать  скрипт,  который  врубает
>> маскарадинг  для  IP  пользователя  при  входе  в  систему и автоматом
>> вырубает  его  же  при  выходе.  Тогда для работы в инете пользователь
>> обязан будет войти на сервер (можно заставить делать это через telnet,
>> или  ещё как-нибудь). Соответственно, будет безразлично, с какой тачки
>> входит   пользователь,   но   при  его  входе  будет  подниматься  IP,
>> зарегистрированный  на  него. Естественно, обойти это можно, но только
>> путём  кражи  или подбора пароля, но надёжность пароля - головная боль
>> пользователя. И, кстати, DHCP в такой ситуации не нужен вообще.

ВС> Иван ты предлагаешь написать прогу которая грубо говоря является клиент
ВС> серверной и при условии правильной авторизации пользователь работает в инете
ВС> в противном случае нет

Да.  Прошу  пардону  за  некоторую сумбурность изложения, я сегодня по
дороге на работу ногу подвернул, болит, зараза, соображать мешает...

ВС> Просто  я  к  чему  --  около двух лет назад у меня вставала такая
ВС> проблема  в общежитиях университета РУДН, тогда попытка решить эту
ВС> задачу  остановилась  на  уровне  списка  разрешенных MAC адресов,
ВС> однако  народ  быстро начал это дело пытаться обойти, в добавок ко
ВС> всему  было выявлено что некоторые (особенно старые) сетевые карты
ВС> (ISA) могут самопроизвольно менять МАК адреса и так

Про  что  я и говорю. В принципе, вопрос можно поставить так: можно ли
как-то  идентифицировать  компьютер, подключенный к сети, при условии,
что  его  пользователь  может  произвольным образом менять _любые_ его
настройки?  Общий  ответ  на  этот  вопрос:  если сетка - Ethernet, то
нельзя.  Если  витая  пара,  то  можно  попробовать  сделать  проверку
авторизации  на уровне хабов, но это довольно нетривиальная задача. Я,
например,  даже  отдалённо  не  представляю,  как за неё браться (хотя
способ, конечно, есть, надо в доках копаться).

По  этой  причине  единственный  выход  -  авторизовать  не  комп,   а
пользователя.  Кстати, в win-сетях это можно сделать на уровне домена.
Очевидный,  дедовский  способ  авторизации  - заставить ввести пароль.
Дальше всё понятно.

Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не
писать собственные проги, а просто прописать поднятие маскарадинга для
IP,  зарегистрированного  на  пользователя,  в его входных скриптах. И
отключение,  соответственно,  при  выходе. Естественно, надо запретить
редактирование  этих скриптов пользователю. Надо в инет - зайди по ssh
или  telnet,  введи  пароль  -  и всё работает. Как только вышел - всё
отрубилось.  Единственное  неудобство  -  болтающееся на десктопе окно
телнета.  Но это не страшно, ИМХО. При таком способе любые манипуляции
с  IP, MAC - адресами, даже точкой подключения к сети, ничего не дают.
Если  пользователь изменит данную ему настройку, он просто не выйдет в
инет  (ну,  изменил  ты IP на соседский, пароль-то свой остался... так
что  при  входе поднимется не его, а твой IP). Надёжность этой системы
ограничивается   только   надёжностью   криптозащиты  и  корректностью
действий  пользователей  по  защите своих паролей от компрометации. Но
тут  надо  просто  договориться,  что  каждый  будет  платить столько,
сколько  отработано  от  его имени, и никаких разговоров на тему "я не
работал, меня хакнули". Хакнули - значит хреново пароль бережёшь.

Если  предусматривать дальнейшее расширение сети - можно действительно
написать  CS-программку,  которая  будет  заниматься  всеми описанными
делами на клиенте. Но при объёме в десяток - другой пользователей это,
ИМХО, излишняя трата времени и сил.

-------------------------------------------
С уважением, 
Ivan Kudryashov <jony на chat.ru> ICQ 1547081