Vlákno názorů k článku Poskytnutí údajů o telekomunikačním provozu a domovní prohlídka od Ivo - Priznam se, ze z takovychto akci mam docela...

Priznam se, ze z takovychto akci mam docela strach. Mame pripojenou bytovku s 50ti uzivateli za NATem. Naklonovat MAC neni zadny problem, zadat, ci ziskat z DHCP adresu nekoho jineho taktez. Mohla by LUPA dotazat policii, jake dukazy vubec pro vydani domovni prohlidky pouziva. Desim se dne, az mi nekdo v nepritomnosti prosacuje byt a zabavi na pul roku moje zivobyti a po pul roce mi poradi, abych se s pripadnou zalobou na neopravneny zasah obratil na soud s zadosti o nahradu skody. Na zaver: nic nestahuji, nic nesdilim a jakakoli autorska dila, krome mych fotek a domacich videi jsou mi ukradena.

Máte mít tu síť udělánu tak, aby se toto nemohlo stát.
Slušné instalace vypadají tak, že switch do kterého jsou zákazníci v baráku připojeni je schován ve festovní skříni pod zámkem, stejně jako zařízení dělající NAT. Switch samozřejmě má MAC filtr, kdy na daném portu dovolí jen MAC adresu daného klienta a taktéž dělá filtraci na třetí vrstvě, takže pustí jen IP protokol a navíc jen platnou IP k danému portu (zákazníci mají staticky přidělené adresy) a filtruje i bordel typu NetBIOS a spol. A aby se předešlo tomu, že mi někdo napíchne dráty k mému bytu a tam pak IP+MAC zfalšuje, tak je zapnuta 802.1x autorizace na každém portu a na jeden port je připojen jeden zákazník.
Kdo, kdy, jaká MAC na jakém portu se loguje do RADIUS serveru. Dokud někdo nevylomí tu skříň s tím switchem a NATem, tak nemá šanci se vydávat za druhé.
Samozřejmě je to trošku dražší řešení, řekněme switch tohoto schopný slušné produkce je tak od 10 kKč výše a také to klade nároky na koncové stanice, že musí umět 802.1x, ale většina dnešních OS to umí a taktéž pár domácích routerů to podporuje.

Proste za bezpecnost se plati. Pokud se tyto zasahy budou mnozit, asi me nezbude nic jineho nez jit do nejakeho adsl, kde to bude s bezpecnosti o krapet lepsi.

Copak je na něm vtipného?
Řeším jen tu část té lokální sítě, jak si původní příspěvěk stěžoval. Myslím, že řešení L2+L3 filtr ve switchi v kombinaci s povinným 802.1x ověřováním (a izolací jednotlivých klientů od sebe, kdy je možná jen komunikace s routerem a ne přímá mezi dvěma koncovými zákazníky), tak je v běžném paneláku docela dostačující pro zabránění tomu, aby se snadno jeden soused vydával za druhého.
Jistě, pokud napíchne přímo šikovně dráty sousedovi, tak už se něco zajimavého podniknout dá. Myslím, že není běžná veřejnost ochotno platit za to, aby ty dráty byly v provedení s detekcí pokusu o narušení. :-)
Pořád je to o řád jinde, než je běžná praxe, kdy je něčím udělán NAT (od nějakého SOHO routeru, přes RouterOS nebo linux) a za tím neinteligentní switch a v rámci baráku si opravdu může každý dělat zcela co chce.

Jasne, obhajoba u soudu "tu vrazdu jsem nespachal ja, vsichni svedci museli videt meho dvojnika". Jsem si jist, ze to bude velmi ucinne.

Pokud by byla realna moznost, ze dvojnik existuje (treba jednovajecny bratr), nebylo by od veci se tim zabyvat.

Jenze dvojniku zas tolik neni. Na rozdil od moznosti, jak ukrast identitu.

Docela by mě zajímalo, kolik panelákových LANek je takhle uděláno - co jsem měl možnost vidět, tak za úspěch lze považovat pokud je SoHo switch za 400,- nevisí za kabely ve stoupačce ale je aspon zavřený v plastové krabičce od svačiny.

Ti sítě si staví lidé v domě sami, ještě sem nepotkal případ kdy by si na panelákovou LAN pozvali za desítky tisíc firmu.