[Løst]httpd.conf tillat kun spesielle MAC adresser

[stighenning]

Min httpd.conf ser ser noe slikt ut;

 

#

# Controls who can get stuff from this server.

#

Order deny,allow

Deny from all

# allow from all

Allow from 192.168.6

Allow from 192.168.7

Allow from 24.54.12.239 # HOME IP

 

Q: Er det istedet mulig å ha tilgangskontroll på MAC adresser

 

Allow from Physical Address: 01-2F-7E-EF-B5-5B

 

 

ps; og nummer og bokstaver er selvfølgelig byttet ut..

[Equerm]

Det er httpd.conf på en Apache server ja?

I så fall er det ikke mulig, men det er jo bare å ha passord på serveren f.eks .htpasswd

[stighenning]

Var litt redd for det...

Uansett, takk for svar.. da vet jeg

[Sokkalf™]

Uansett er ikke det å gi tilgang til spesifikke MAC-adresser noe sikrere enn å gi tilgang til spesifikke IP-adresser, siden begge relativt enkelt kan skiftes.

[Equerm]

Etter litt googling fant jeg ut at det faktisk er mulig dersom du bruker SSL sertefikat, men det folk sier at det er for mye jobb i forhold til sikkerheten du får ut av det, siden det ikke er spesielt sikkert å blokkere en MAC adresse siden det er veldig enkelt å endre MAC adresse på en pc

 

edit: Sokkalf^ sa omtrent det samme først

Endret 19. juni 2009 av Equerm

[AlecTBM]

Det beste er vell passord ja, da er du ganske sikker med mindre noen får tak i passordet ditt da.

[cyclo]

Uansett er ikke det å gi tilgang til spesifikke MAC-adresser noe sikrere enn å gi tilgang til spesifikke IP-adresser, siden begge relativt enkelt kan skiftes.

Det er vell faktisk langt enklere å spoofe MAC-adresse enn IP-adresse

[stighenning]

Det er en anonymous ftp som kjører. Brukere skal kunne lage kataloger og downloade derifra..

 

Jeg kan gi tilgang slik at alle på intern nettverket får tilgang via httpd.conf (allow from 192.168.6 osv..)

 

Jeg kan gi tilgang til extern IP adresser har mulighet for å logge på osv.. MEN her kommer problemet med de som ikke har _fast IP_ de vil da kunne risikere å bli blokkert ute..

 

Det er ikke så veldig sensitivt det som ligger på ftp siten..

 

Firewall er skrudd på, SELinux er skrudd av.. og kun port 80 og 21 er åpen. Og deretter blokkeres evnt. de som ønsker å se på websidene via allow from IP osv..

 

 

Men jeg ønsker å gi spesielle brukere (altså via MAC) tilgang også utenifra, og da tenkte jeg MAC burde kunne gjøre dette. (dog vet jeg at man kan endre MAC adresse..) Men hvordan ?? Linker osv tas imot med takk ;-D

[Sokkalf™]

Jeg er ingen nettverksekspert, men.. er det ikke slik at "software-stacken" ikke bryr seg videre om MAC-adresser i det hele tatt? Jeg mener det er slik at dette er noe routere/switcher bruker for å kunne sende pakker "riktig vei". MAC-adressen til noen ute på nettet vil vel da være ute av bildet med en gang pakken passerer gjennom en router(?). En som har litt mer peiling må gjerne korrigere meg om jeg tar feil.

[Ducktoy]

http://www.cyberciti.biz/tips/iptables-mac...-filtering.html

 

letteste måten jeg ser på løse tilgangskontrollen for interne brukere er ved å benytte iptables. eksterne er litt værre.

 

personlig ville jeg brukt unike brukernavn og passord enn å basere seg på mac-adressene da de, som nevnt tidligere, er enkle å spoofe.

[stighenning]

Veldig bra dere tenker sikkerhet!!

..men jeg har kanskje ikke vært helt klar på hvordan denne "tjenesten" jeg setter opp skal fungere..

 

Altså slik er det:

 

Jeg har en server, som kjører centos. Denne skal kun kjøre FTP og Apache.

Apache kjører med et enkelt php script som generer ftp kataloger på serveren.

Disse ftp katalogene ser slik ut; ftp://123.155.14.241/9283kjnbgkbjf27h3923hfkjnfj1h20c

Dette er generert utifra en random utvalg av tall og bokstaver og tegn.

Det er KUN noen som skal kunne få lov til å lage slike ftp linker, altså de som sitter på

192.168.6.x og

83.12.42.53 (min hjemme IP)

84.53.82.83 (min kompis IP akkurat nå - men denne skifter nå og da..)

 

Alle (til og med du som leser dette ) skal ha tilgang til den linken - men da må du vite om den! (og gjette seg til den strengen er normalt umulig. Og brutforce knekke den vil bare gjøre at maskina kneler

 

Videre..

SELinux er disabled. (setenforce 0)

Firewall (iptables er aktiv) og tillater kun trafikk på port 80 og 21 og 22 internt for ssh og 25 for epost ut..

 

..men jeg ser nå, at jeg kanskje bør sette opp en "virtuell site i httpd.conf" og definere her en .htaccess fil med brukernavn og passord som jeg distribuerer til alle parter som ønsker tilgang.. (dog må de taste brukernavn og passord - som jeg håpet å forhindre at de må gjøre,.. :-/ det gjør jo tjenesten litt mere klønete) .. men det vil jo fungere..

 

Greia er jo at det skal være så _enkelt_ som mulig, at jeg bare skal lett kunne gi tilgang til brukere med en spesiell MAC adresse.. men trolig ikke mulig. Sette opp dette med blokkering i iptables er kanskje en ide? ...

Endret 21. juni 2009 av stighenning

[Varj]

pc'n din vet ikke noe som helst om mac-adresser utenfor sitt eget broadcast nett, så det blir meningsløst å prøve å filtrere på dette når ikke alle sitter på samme nett.

 

og apache aner heller ingen verdens ting om mac-adresser, da det som nevnt ligger i et underliggende lag, på samme måte som apache ikke bryr seg om du kjører CSMA over fysisk ethernet-kabel eller insert-trådløs-fysisk-protokoll over trådløst.