Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 5391 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

mac address packet filter???

ANTY
Hi everybody.
I have a 20 pc's network with a packet filter rule that permit only to 3 machines to use external services. 
The other pc's have to use proxy service.
Now the problem is: if a lan user change its ip with the ip of one of the 3 pc's that can access all, my security/control policies are eluded. 
To solve the problem I have thought that the only things that could be done should be apply to ASL packet filter rules based on mac-address. Is it possibile? Any suggestion will be greatly appreciated.
Thanx, Anty.
--ASL 5.013 with SurfProtection by Cobion---


This thread was automatically locked due to age.
Parents
  • 0
    Why don't you search the solution on your clients ?
    If you use MicroBill systems, it should be easy to forbid your users to change their IP.
    .... and should be much more easier if you use the Pinguin  

    Karsten
  • 0 in reply to KKnecht
    [ QUOTE ]
    Why don't you search the solution on your clients ?
    If you use MicroBill systems, it should be easy to forbid your users to change their IP.
    .... and should be much more easier if you use the Pinguin  

    Karsten 

    [/ QUOTE ]

    Bingo! MS Security Policy editor.
  • 0 in reply to JimmyM
    Yes, MS Security Policy editor could be a solution, but it could not if: 
    - the clients are too much
    - the clients are old win9x
    - the clients are not mine - if someone get lan access with a personal notebook?
    I watched on netfilter web site, and it seems that iptables can support mac address...Or have I misunderstood?
    Thanks for all.
  • 0 in reply to ANTY
    Astaro being linux has more capabilties than are supported.

    What you can do via the gui config is not the sum total of what Astaro can do. However if you do anything not via the gui then you lose your support.

    You can make a linux box filter by mac but it will be a hack.

    Also it is trivial to change your MAC address.

    Perhaps you should be thinknig more along the lines of a authenticating proxy. That way you are allowing a particular user and not the user you think is at a machine (which may not even be the machine you think)
  • 0 in reply to PenTest
    Dear PenTest, 
    I agree to you.
    But I'm already using an authenticating proxy and there are some problems: to 3 pc I must allow not to use it because sometimes it dosn't work in particular situation and especially, no ip of my lan can (for example) do a pop3 request outside -other than my internal mail server- except for these 3 pcs... How can you make this?
  • 0 in reply to ANTY
    its easy to secure but also quite easy to circumvent because it is coming from your trusted network.

    Your best bet is to do what i said above. Fixed DHCP assignemtns via MAC. And rotate this occasionally looking for people manually setting their IP address.

    MAC addressing filtering sounds like a good idea but is in reality as easy to bypass as an IP filter in this scenario.

    However another idea is to add a seperate interface for you 3 trusetd hosts. This way unless people can physically plug into this other interface you can have two sets of rules.

    Much more powerful.

    Plus your mail server should not really be on your internal network anyay (thinking classic security models)
  • 0 in reply to PenTest
    [ QUOTE ]

    Your best bet is to do what i said above. Fixed DHCP assignemtns via MAC. And rotate this occasionally looking for people manually setting their IP address.


    [/ QUOTE ]
    And what about someone connecting without using dhcp server and defining ip address manually of one of the 3 'power' pcs?

    [ QUOTE ]

    MAC addressing filtering sounds like a good idea but is in reality as easy to bypass as an IP filter in this scenario.


    [/ QUOTE ]
    I disagree...
    I'm quite sure that 24 of 25 people here are able to change their ip but no one is able to change his mac address...
    [ QUOTE ]

    However another idea is to add a seperate interface for you 3 trusetd hosts. This way unless people can physically plug into this other interface you can have two sets of rules.


    [/ QUOTE ]
    Too simple to get access to this parallell network. I unplug the power computer and plu my notebook...
    [ QUOTE ]

    Plus your mail server should not really be on your internal network anyay (thinking classic security models) 


    [/ QUOTE ]
    My mail server is a 'smart host' mail server, not real smtp server, obviousley.

    Bye bye,
    Anty
  • 0 in reply to ANTY
    if someone takes the ip address of the power pc manually you will notice it next time you change your dhcp setup. then you scold them. if you are saying that you have no control over your users then you have to have an extra DMZ by defintion as your trusted subnet does not contain trusted (or controllable users).

    As for changing MAC. If you are saying your users dont know how to do this then thats your decision. If you are saying that it cant be done then you are incorrect.

    I get the impression the main problem you have is not having a policed security polciy. No device can fully protect you in this scenario
  • 0 in reply to PenTest
    [ QUOTE ]

    if someone takes the ip address of the power pc manually you will notice it next time you change your dhcp setup. then you scold them.

    [/ QUOTE ]
    Yes, I know. But then it will be too late.
    [ QUOTE ]

    if you are saying that you have no control over your users then you have to have an extra DMZ by defintion as your trusted subnet does not contain trusted (or controllable users).


    [/ QUOTE ]
    What will another dmz grant me if I can not protect my trusted lan?!?!? Everyone can plug the pc on the protected lan....This is the problem.
    [ QUOTE ]

    As for changing MAC. If you are saying your users dont know how to do this then thats your decision. If you are saying that it cant be done then you are incorrect.


    [/ QUOTE ]
    My situation is that no one can change their mac address. I didn't say that it is impossibile...But I know who my users are!
    [ QUOTE ]

    I get the impression the main problem you have is not having a policed security polciy. No device can fully protect you in this scenario 

    [/ QUOTE ]
    Disagree...
    I will change my switch with a intelligente programmable one.
    Every mac address one ip address. No other mac address allowed. And ASL will do the rest with ip address.
    200$ device will resolve my (and I underline MY) situation!!!
  • 0 in reply to ANTY
    whatever is good for you.

    however if you had money to spend then perhasp you should have said.

    what i suggested here was a firewall solution. not a network redesign which is what you propose.

    also your switch solution will tie mac to port. it probably wont tie mac to ip to port.

    which means you are still in the same situation.

    but as i said whatever is good for you. your problem of having untrusted users on a shared trused/untrusted zone is still the same
Reply
  • 0 in reply to ANTY
    whatever is good for you.

    however if you had money to spend then perhasp you should have said.

    what i suggested here was a firewall solution. not a network redesign which is what you propose.

    also your switch solution will tie mac to port. it probably wont tie mac to ip to port.

    which means you are still in the same situation.

    but as i said whatever is good for you. your problem of having untrusted users on a shared trused/untrusted zone is still the same
Children
No Data