networking sovversivo


Rispondi
Avatar utente
gdeber
GranGianGnomo
Messaggi: 1547
Iscritto il: 13 set 2001, 10:40
Località: Rivolta d'Adda
Contatta:

networking sovversivo

Messaggio da gdeber » 24 nov 2008, 09:48

Buongiorno a tutti.

Per la rubrica "inventiamoci cose malsane" ecco lo spunto per il brainstorming di oggi

Scenario:
Una ditta qualsiasi che produce tubi in quel di Dalmine
Regole aziendali che impediscono (forse) l'uso di gtalk.
un simpatico proxy modificato che lo fa funzionare, girante (nel senso che gira) su un server linux.
Per nascondere un po' questa cosa, il firewall della macchina consente l'accesso solo ad una whitelist (ip / mac address).
Purtroppo questa soluzione non è sempre possibile dato che alcuni si collegano in vpn da casa, alcuni usano dhcp, alcuni sono all'estero ecc ecc.

Come si potrebbe fare? una pagina di login che apre il fw all'indirizzo ip per X ore?
***L'assembler è alla base dell'universo®***
http://www.mecheros.it

Avatar utente
Ego
D-ai-i-go
Messaggi: 4211
Iscritto il: 15 nov 2001, 11:15
Contatta:

Messaggio da Ego » 24 nov 2008, 10:32

Come soluzione risulta elegante e pulita XD.

Altre strade più semplici non saprei cosa inventarmi man :D.
A canvas to paint, to degenerate
Dark reflections - degeneration
A canvas to paint, to denigrate
Dark reflections, of dark foul light
Carcass

Avatar utente
oMAR
GranGianGnomo
Messaggi: 2448
Iscritto il: 11 lug 2001, 12:49
Contatta:

Messaggio da oMAR » 24 nov 2008, 18:25

mmm penso di non aver capito bene il problema però...

se sei quello che ha messo in piedi i server e in generale controlli le macchine, dovresti riuscire sia a livello di dhcp che a livello di vpn a "forzare" l'assegnamento degli indirizzi in modo che i computer collegati ottengano sempre un indirizzo valido per la whitelist...

oppure, non ho capito la domanda :)
1) tu sei normale (quanto mi costa ammetterlo)[vava]
2) un palo nel culo è peggio solo di 2 o più pali nel culo [un cervello sempre più bruciato]
3) Sono gestionale. Sono geneticamente incoerente

4) Siamo in Italia, mica in un paese civile... [pensiero condiviso e condivisibile]
5) Se in un primo momento l'idea non è assurda, allora non c'è nessuna speranza che si realizzi [A. Einstein]

Avatar utente
Sbienk
泰狼
Messaggi: 4013
Iscritto il: 30 set 2001, 11:03
Località: Calvenzano
Contatta:

Messaggio da Sbienk » 24 nov 2008, 19:24

Ma il murodifuoco filtra contemporaneamente su ip e macadd? non puoi usare solo il macadd?

Potrete ingannare tutti per un po'.
Potrete ingannare qualcuno per sempre.
Ma non potrete ingannare tutti per sempre

(Abraham Lincoln)

Avatar utente
gdeber
GranGianGnomo
Messaggi: 1547
Iscritto il: 13 set 2001, 10:40
Località: Rivolta d'Adda
Contatta:

Messaggio da gdeber » 24 nov 2008, 20:12

oMAR ha scritto: se sei quello che ha messo in piedi i server e in generale controlli le macchine
eh purtroppo non lo sono...
Sbienk ha scritto: Ma il murodifuoco filtra contemporaneamente su ip e macadd? non puoi usare solo il macadd?
infatti pensavo anche io, ma nel caso di vpn attraverso appositi apparati (che magari nattano pure), il mac address resta quello della sorgente oppure dell'apparato che effettua il nat?

Comunque quello che volevo evitare era di mettere una whitelist, o magari gestirla in modo più furbo...

potrei anche mettere squid a fare autenticazione senza impostare regole sul fw

alla fine diventerebbe così

squid -> ntlmaps -> isa server -> mondo
***L'assembler è alla base dell'universo®***
http://www.mecheros.it

Rispondi