PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : -m mac --mac-source über Internet



debian_ownz
25.05.2005, 12:15
Ich benutze derzeit Debian 3.0R2 mit einem eigenen Kernel, und ich möchte gerne den zugriff auf SSH nur ganz bestimmtem MAC´s erlauben, jedoch erkennt iptables ja nur die MAC vom allerletzten Peer zwischen dem Server und mir. Kann man das irgendwie überbrücken? Ich hab gehört, mit der Tunnelfunktion von Putty würde sich das lösen lassen, ich hab sogar schon einen funktionierenden Tunnel aufgebaut, jedoch wird selbst dann die MAC von einem anderen PC in den Logs angezeigt, anstatt meiner :think: :hilfe2:

tr0nix
25.05.2005, 12:28
Salutti

Ich denke nicht, dass dies möglich ist. Wieso löst du das Problem nicht mit Zertifikaten? Schlussendlich ist eine MAC Addresse so vertrauenswürdig wie eine IP-Addresse. Beides lässt sich beliebig abändern.

Gruss
tr0nix

debian_ownz
25.05.2005, 12:31
Salutti

Beides lässt sich beliebig abändern.

also ich wusste ja, dass dies bei nvidia-onboard-NICs möglich ist :oldman , gibts denn noch mehr von der doch recht "verräterischen" Sorte??

debian_ownz
25.05.2005, 12:34
also ich wusste ja, dass dies bei nvidia-onboard-NICs möglich ist :oldman , gibts denn noch mehr von der doch recht "verräterischen" Sorte??
(auf MACs bezogen jetzt)

tr0nix
25.05.2005, 12:39
Hi Debian

Es ist unabhängig von dem NIC.

Siehe auch: http://www.unixboard.de/vb3/showpost.php?p=88623&postcount=23

Gruss
tr0nix

-str]ID[er-
25.05.2005, 12:51
und es gibt für die win freunde untrer uns das tool smac...... (da du putty nutzt, scheinst du win aufem desktop am start haben)

tr0nix
25.05.2005, 12:55
ID[er-']und es gibt für die win freunde untrer uns das tool smac...... (da du putty nutzt, scheinst du win aufem desktop am start haben)
Ich vermisse die [zensur]-Tags ^^

-str]ID[er-
25.05.2005, 18:34
es gibt für die "jehova" freunde unter uns.........

besser so?? :))

tr0nix
25.05.2005, 20:15
Meinst du nicht eher Judas? :op

debian_ownz
26.05.2005, 19:13
könntet ihr den sinnfreien smalltalk mal unterlassen?? vielleicht will ja jemand was effektives posten! Ausserdem dürfte es recht unwahrscheinlich sein das o.g. NICHT realisieren zu können, man müsste im extremsten Falle die lokale MAC auslesen und evtl. an die SSH-Pakete dranhängen oder extra Pakete schicken, die genau das übermitteln......letzteres dürfte recht leicht werden, nur hatte ich mir das eigentlich anders vorgestellt :think:, eine Lösung, bei der simple shell-scripte extra ausgeführt werden müssen, sieht mir irgendwie unschön aus.. ich würde es am liebsten per Tunnel lösen, weiss da jemand was passendes??
ach übrigens: Zertifikate sind mir zu unsicher (!!), VPN läuft unter meinem Debian anscheinend nicht (seltsame Fehlermeldungen bei OpenVPN, die niemand erklären kann).

tr0nix
27.05.2005, 10:06
Hallo? Zertifikate sind dir zu unsicher aber MAC Authentifizierung war dir sicher genug? Ich denke das ist wahrlich "sinnfrei".

Mach doch einfach ne Firewall mit IP-restriction, Zertifikate und Passwortabfrage. Wenn dir das nicht sicher genug ist, stelle deinen Computer nicht ans Netz. Jedes weitere Gebastel erfordert nur mehr Software und Kernelpatches welche das Risiko nur erhöhen!

Sicherheitsrelevante Software enthält sicherheitsrelevante Bugs.

nikster77
30.05.2005, 21:29
Hi debian.
Ich denke dein Ansatz ist irgendwie falsch, MAC-Adressen sagen nichts...
Du solltest auf der Win Maschine einen PuTTY-Key generieren 2048 Bit DSA.
Den oeffentliche Teil dieses Keys kopierst du in /home/benutzer/.ssh/authorized_keys
Du wirst einige Aenderungen an dem Key vornehmen muessen (wg. Windows Carriage Return) der key muss eine komplette Zeile sein.
Den --- blabla-Key--- kram kannst du loeschen.
Der key (public) muss dann ungefaehr so aussehen ssh-dss fdsgdsfgdsfdsf(viel_laenger)
Das ist immer noch das sicherste.
Auf deiner Linux Maschine kannst du die Option AllowGroups=sshbenutzer mit in seine sshd_config aufnehmen.
Somit sind nur mitglieder dieser Gruppe zur Anmeldung berechtigt.

Das sollte sicher genug sein :)

Gruss

Niels