Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: aigor.net 24. 10. 2020, 22:17:01
-
Možná blbá otázka, ale jak nejlépe řešit situaci kdy je multiboot PC a pro Linux nebo Win chci nastavit úplně jiné prostupy do vlastní sítě i na internet? Jako první mě napadlo použít Radius server, ale nechám si poradit, pokud to jde i snadněji. Router je Mikrotik.
-
Každý systém může mít nastavenou jinou VLAN (Linux třeba číslo 3 a Windows třeba 95) a podle toho se dostanou do různých sítí s různým nastavením.
Co je přesně cílem?
-
Zabránit teenagerovi, aby nám z Windows díky nějakému viru nevyluxoval server, nebo nedělal jinou neplechu (ano, je mi jasné, že 100% tomu zabránit nejde).
-
Zavirovaná Windows si můžou VLANu změnit, ale asi je dost nepravděpodobné, že by se tak stalo, pokud nejde o cílený útok. (a taky můžou přidat backdoor do zavlekače/kernelu, které jsou předpokládám na disku nešifrovány a neautentizovány (Secure Boot))
-
Windows a Linux se od sebe v defaultu daji poznat tez napr. podle TTL packetu. Windows maji 128 default, Linux 64.
-
Napadla mi ještě jedna možnost. Co jednoduše v Linuxu naklonovat jinou MAC?
Widle pojedou prostě nativně a do VLAN se zařadí podle MAC addr.
(dobrá připomínka je ten SecureBoot, to snad nebude problém nastavit)
-
Možná trochu komplikovanější na prvotní nastavení, ale určitě správné a spolehlivé je použí 802.1X (+ zmiňovaný radius).
-
A není pak možné si prostě vytáhnout přístupové údaje v Linuxu a opsat do Windows?
-
Napadla mi ještě jedna možnost. Co jednoduše v Linuxu naklonovat jinou MAC?...
Takhle jsem to řešil. Nechtělo se mi s tím složitě kakat, tak jsem v Linuxu nastavil jinou MAC (ve widlích jsem to z důvodu spolehlivosti a důvěryhodnosti radši ani nezkoušel), přiřadil jinou adresu a s tou pracoval na fireválu.
Kdybyste to chtěl pořádně, musel byste použít některý autentizační mechanismus.