[Help informatico sulla sicurezza]Rischiesta pazza....legare visitatore sito a macchina univoca

M

marco86

Nuovo Alfista
21 Marzo 2005
4,943
0
36
nella boscaglia del canavese
Chiedo dinuovo a voi una cosa che non rho mai dovuto affrontare...

ho fatto un sito per una famosa casa che vendo prodotti farmaceutici e ospedalieri...fin qui tutto ok....


ora il cliente mi chiede..io voglio che l'utente possa collegarsi al mio sito solo da dove dico, tipo in ufficio ad esempio e non a casa....

mmm ho pensato a un po di tutto, poi ho detto bo si potrebbe usare il MAC della postazione e memorizzarla in un db insieme all'utente, quindi dopo che fa il login controllo il suo mac con quello che ho nel DB...

i problemi sono:
-chi si mette a caricare tutti i mac collegati ai 2000utenti? l'admin
o cmq uno script automatico lanciabile solo da admin

-come faccio da una pagina aspx o quel che sia a trovare il mac del client, e non del gateway o del proxy che usano per uscire...

ad esempio alle molinette di torino, il sito risiede qua da me sul un server che ho qua in office, dalle molinette si devono collegare per sperimentazione, come trovo l'ip della workstation usata nell'ufficio, quindi come supero il server e come mi natto dentro la rete?



speso che qualcuno mi possa dare una dritta, vanno bene anche altri sistemi la richiesta fatta è:
legare un'utente a una postazione (magari postazioni della stessa rete o di altre)

grazie mille :mecry2)
 
Mi sembra una follia a livello progettuale in tempi in cui l'accessibilità è il dogma.

E comunque è sbagliata l'architettura....

Non è internet, qui si parla di intranet o al più di extranet. Non sposterei il problema dell'autenticazione (e della provenienza del client) all'applicativo ma più all'architettura!!

Fermo restando che il mac address si desume... (http://forum.java.sun.com/thread.jspa?threadID=245711 ad esempio) il problema si pone con gateway, proxy e NAT.

Secondo me è la strada sbagliata... ma IMHO...
 
lo so che la cosa non ha senso..ma non so cosa pensare....loro per problemi di sicurezza vogliono che oltre all'utente ci sia il controllo della macchina

cosi se io ho la password per avere accesso, e la do a te, tu non te ne fai nulla xk non vieni riconosciuto dal controllo macchina...


lo so che il problema sono i gateway, i server proxy il nat e tutto il resto, io ho presente un po come funzionano le reti, loro no e credono che tutto sia possibile..


dicendo che è sbagliata l'architettura dicei che non bisognava fare un sito ma tipo un progrmma da installare vero?

io faccio qello che mi chiedonoloro, se parlo mi viene detto che loro pagano e si fa cosi, quindi adesso interpellerano un equibe di esperti informatici e sono curioso di sentire cosa tirano fuori da un sti internet :crepap) :crepap) :crepap) :crepap)
 
ratatuia":37u7xm0w ha detto:
e consentire l'accesso solo a determinate classi di ip?
Clicca per espandere...
io ho pensato..visto che sono ospedali o cmq posti con l'ip pubblico di fare un facile controllo sui vari range....ma il problema di sti pazzi è un'altro...

io sono nel mio ufficio ci sono due pc, uno mio e uno tuo rata, bene io posso entrare solo dal mio pc, se mi voglio loggare dal tuo non posso :ka)

quindi l'idea dei range di ip se ne va, xk mi permetterebbe l'accesso di tutti gli utenti loggati da ogni macchina e non solo dalla loro


è una cosa senza senzo :jaw)
 
marco86":23arvp8f ha detto:
speso che qualcuno mi possa dare una dritta, vanno bene anche altri sistemi la richiesta fatta è:
legare un'utente a una postazione (magari postazioni della stessa rete o di altre)

grazie mille :mecry2)
Clicca per espandere...
Allora qualche chiarimentino.

Dipende se vuoi qualcosa di "serio" o di "non-serio".

Ti ricordo che il MAC NON è univoco di una singola scheda di rete, è anch'esso un indirizzo "software" facilmente modificabile (pensa solo alla modalità promiscua...) indi per cui NON è un metodo "serio" [nel senso che io riuscirei facilmente a bypassarlo].

Volendo potresti fare un qualcosa del genere (sempre nell'ottica "bovina"): semplicissimo applicativo locale che prende il MAC della macchina (e/o una combinazione della configurazione del BIOS, nr. serie del disco C:\ etc, un po' come fa XP per ottenere la firma della macchina), lo cripta con un metodo simmetrico (es. Idea ma anche 3DES) e crea un token di collegamento ad una CGI che riesiede sul server, il quale pigliando quello autorizza l'IP del richiedente (fino al termine della sessione).

Ribadisco che se lo scopo è "moscio" va bene, se è "serio" no.

Ho vinto quacchecosa? :smokin)
 
PS ovviamente ho scartato a priori la possibilità di usare un banale cookie... dipende come sempre dal livello che vuoi ottenere... Visto che non disdegni m$ perfino un controllino specifico ActiveX (solo che poi dovresti abbassare parecchio il livello di sicurezza, per leggere l'HW, almeno trustando il sito in IE) oppure anche un javello con le mesime modalità (anche qui problemini di sandbox)
 
si dovrebbe essere una cosa seria...qualsiasi cosa è modificabile so come bypassare i MAC ma non credo che lo sappiano fare il 90% degli utenti medici o infermieri...

scartando i metodi bovini, un metodo serio anche se dispendioso qualse sarebbe? :fluffle)
 
marco86":2i04ge3d ha detto:
si dovrebbe essere una cosa seria...qualsiasi cosa è modificabile so come bypassare i MAC ma non credo che lo sappiano fare il 90% degli utenti medici o infermieri...
Clicca per espandere...
Avendo scritto software per cartelle cliniche dì pure 99.9%...
scartando i metodi bovini, un metodo serio anche se dispendioso qualse sarebbe? :fluffle)
Clicca per espandere...
Una VPN, ovviamente, hardware o software, ma qui come indica giustamente Aleksej diventa in buona sostanza una "intranet".

Se mischi MAC ad altre info, come ti ho indicato sopra, con un banalissimo programmello da 30K riesci ad ottenere un ottimo livello.

L'unico "problemino" è l'intercettazione del token (sempre possibile) che, se inviato in "chiaro", è sempre vulnerabile.

L'alternativa sarebbe più dispendiosa, ovvero una procedurina socket-based a chiave pubblica.

Perchè non un "banale" https? Da lì il "vero" IP ed il "vero" MAC salta fuori... (siamo sempre nell'ipotesi "non-seria") o perfino un banale certificatino SSL (unico problema è che è trasportabile via file)...
 
se non è one-to-one ovvero IO e DA QUI ma bensì un pool di persone ed un pool di macchine non accoppiate, io opterei per una VPN.

O in generale sposterei il problema a fare in modo che una macchina sia raggiungibile o meno, non che sia raggiungibile e poi discrimini con l'autenticazione.

solo che gateway, nat ecc ecc rendono la cosa complessa.

COMUNQUE, anche facendo quel che chiedono, la rete non è per niente sicura. E dimostraglielo così, con prodotti FREE e LEGALI:

- se sono pc windows: Installato un VNC fai quel che vuoi da dove vuoi.
- Se sono pc linux et simili: VNC, l'export di X o ancora più banalmente SSH...

E di mac address, ip, vlan, cookie e quant'altro te ne puoi allegramente fregare.


Cmq, sì, quel che ti chiedono è una forzatura, l'applicazione dovrebbe funzionare con client installato. (ed anche così comunque VNC ecc ecc possono bypassare)
 
InterNik":20jpf2rq ha detto:
Perchè non un "banale" https? Da lì il "vero" IP ed il "vero" MAC salta fuori... (siamo sempre nell'ipotesi "non-seria") o perfino un banale certificatino SSL (unico problema è che è trasportabile via file)...
Clicca per espandere...

anche quelli della workstation reale, anche se dietro un proxy?

credo che alla fine se proprio devo farlo faro un mix di informazioni di sistema, mac seriale hd e vedo se trovo altro, cripto e mando, poi di la decripto è confronto con il db...l'unica palla e creare il db con accoppiata utenza-key univoco(quello composto da mac e bla bla bla)


si un programma locale in locale sarebbe stata meglio, ma loro volevano il sito e questi problemi escono solo ora :ka)


@Aleksej: anche la vpn non so xk vogliono proprio quello che hai detto tu "one-to-one ovvero IO e DA QUI "


grazie a tutti :fluffle)
 
marco86":2auzjsp9 ha detto:
@Aleksej: anche la vpn non so xk vogliono proprio quello che hai detto tu "one-to-one ovvero IO e DA QUI "
Clicca per espandere...

beh, vpn + accoppiamento user/IP risolvono. Sistema sfondabilissimo, ma ci va già della competenza che questi non hanno.

E cmq, restano sempre vnc/ssh ecc ecc ad aggirare qualsiasi protezione SE la macchina abilitata all'accesso è raggiungibile ed opportunamente configurata.
 
Aleksej":3t98upn2 ha detto:
E cmq, restano sempre vnc/ssh ecc ecc ad aggirare qualsiasi protezione SE la macchina abilitata all'accesso è raggiungibile ed opportunamente configurata.
Clicca per espandere...
be si la macchina magari se la possono configurare dall'ufficio..ma se il firewall dell'uffio gli tira giù i servizi ssh o vari collegamenti remoti potrebbe già essere un passo avanti..non credo che si faranno mai dei tunnel proxy...e poi secondo me all'utente non gliene fraga un cazz* di vedersi da casa un cataglogo di 600000 prodotti, se lo vuole se lo vede dall'ufficio il giono dopo, quindi credo che basti una serie di dati come detto prima, relativi alla macchina criptanti senza dire come e inviati...certo che se l'utente capisce come e dove passa la chiave criptata puo forzarla e mandarla dal suo pc di casa....

bo io resto dell'idea che la cosa di per se non ha senso :ka) anche xk con un sito uno che ne capisce un po e vuole mettersi la buca senza problemi :matto)
 
marco86":m9cvgei3 ha detto:
InterNik":m9cvgei3 ha detto:
Perchè non un "banale" https? Da lì il "vero" IP ed il "vero" MAC salta fuori... (siamo sempre nell'ipotesi "non-seria") o perfino un banale certificatino SSL (unico problema è che è trasportabile via file)...
Clicca per espandere...

anche quelli della workstation reale, anche se dietro un proxy?
Clicca per espandere...
:nod)

be si la macchina magari se la possono configurare dall'ufficio..ma se il firewall dell'uffio gli tira giù i servizi ssh o vari collegamenti remoti potrebbe già essere un passo avanti..non credo che si faranno mai dei tunnel proxy...
Clicca per espandere...
Non è così semplice, in quanto facilmente (almeno io faccio così!) si riprogramma il telecontrollo per usare la porta 80 (o 21), così che un firewall non veramente intelligente (in grado di vedere il payload dei pacchetti) non è in grado di bloccarli con una semplice stateful inspection


Aleksej":m9cvgei3 ha detto:
se non è one-to-one ovvero IO e DA QUI ma bensì un pool di persone ed un pool di macchine non accoppiate, io opterei per una VPN.

O in generale sposterei il problema a fare in modo che una macchina sia raggiungibile o meno, non che sia raggiungibile e poi discrimini con l'autenticazione. (...)
Clicca per espandere...
:OK)
credo che alla fine se proprio devo farlo faro un mix di informazioni di sistema, mac seriale hd e vedo se trovo altro, cripto e mando, poi di la decripto è confronto con il db...l'unica palla e creare il db con accoppiata utenza-key univoco(quello composto da mac e bla bla bla)
Clicca per espandere...
:nod)
si un programma locale in locale sarebbe stata meglio, ma loro volevano il sito e questi problemi escono solo ora :ka)
Clicca per espandere...
Embhè? Io ai miei clienti dico sempre... basta pagare...

@Aleksej: anche la vpn non so xk vogliono proprio quello che hai detto tu "one-to-one ovvero IO e DA QUI "
Clicca per espandere...
Ribadisco: l'unica possibilità "ragionevole" (anche se è un rottura micidiale) è una applicazione residente (anche piccolina) che "apra" la connessione.
Banalmente qualsiasi telecontrollo equivale a tutti gli effetti ad una connessione "valida": la possibilità di fare un programma (locale) che monitorizzi automaticamente tutte le connessioni TCP/UDP ed abortisca se non trovi aperte solo quelle verso il sito mi sembra parecchio "castrante", poichè impedisce, ad es., la navigazione, posta e quant'altro non sia diretto verso il sito "da accedere"

Scomodo, a dir poco, tuttavia fattibile :nod)
anche xk con un sito uno che ne capisce un po e vuole mettersi la buca senza problemi
Clicca per espandere...
:nono) dipende da quanto vuoi rendere ristretto (e sicuro) l'accesso.
E' il bilanciamento "apertura" vs "sicurezza" che è difficile :spin)

credo che alla fine se proprio devo farlo faro un mix di informazioni di sistema, mac seriale hd e vedo se trovo altro, cripto e mando, poi di la decripto è confronto con il db...l'unica palla e creare il db con accoppiata utenza-key univoco(quello composto da mac e bla bla bla)
Clicca per espandere...
Scusa edit su questo: basta usare il mio mitico CIPPA! ehehehe programmello remoto di ispezione config di rete che manda un email con un server SMTP incorportato e perfino un messaggio ICQ con il risultato :culo)
 
mmmm mi sto solo incasinando di + del dovuto...proporro il piccolo programmino in locale, mal che vada proporro https e da li mi affido al mac...so che non è il max ma finche non lamentano disfunzioni se lo tengono cosi :OK)
 
Devi accedere o registrarti per rispondere qui.
Top