[NeedHelp!]

Возник следующий вопрос: в нашей сети осуществляется привязка ip адреса к mac адресу сетевой карточки, "умных" свитчей нигде не стоит (да и позволить это мы себе не можем), так что и то и другое меняется на "ура" за пару сек. Какие еще методы защиты можно применить?

Заранее благодарен!

[jab]

вазелин

[Ugnich Anton]

Для сети:

1. PPPoE

 

Только для выхода в инет:

2. PPTP

3. Любой конченый убогий биллинг с установкой программы-клиента на стороне юзера, в которую он будет вводить логин и пароль.

4. Прокси

[Shiva]

Ничего, скоро начнут тырить логины с пасами...

[Deac]

Прогрессивное человечество не придумало другой надёжной схемы кроме "один клиент -> один порт", так что управляемые свичи необходимы, советую обратить внимание на DES-2108/DES-2116, при всех недостатках соотношение цена-качество вне конкуренции.

[NeedHelp!]

Для сети:

1. PPPoE

 

Только для выхода в инет:

2. PPTP

3. Любой конченый убогий биллинг с установкой программы-клиента на стороне юзера, в которую он будет вводить логин и пароль.

4. Прокси

Непонял что за "PPPoE" прошу просвятить.

Билинг стоит UTM-5, при включенном авторизаторе через сканер пробиваешь mac адре и ип, меняешь и юзаешь инет.

[Ugnich Anton]

Непонял что за "PPPoE" прошу просвятить.

google

 

Билинг стоит UTM-5, при включенном авторизаторе через сканер пробиваешь mac адре и ип, меняешь и юзаешь инет.

Шифрация паролей. MS-CHAPv2 ещё вроде не сломали. :)

[BETEPAH]

у меня так - управляемые свитчи со static mac типа d-link 2108, в UTM5 при внесении юзера вписываешь ip+mac, а в cron каждый час запускается биллинговая утилита, которая из базы кидает в arp связки ip+mac. работает 100%.

[NeedHelp!]

у меня так - управляемые свитчи со static mac типа d-link 2108, в UTM5 при внесении юзера вписываешь ip+mac, а в cron каждый час запускается биллинговая утилита, которая из базы кидает в arp связки ip+mac. работает 100%.

Как я понимаю у тебя управляемые свитчи стоят повсеместно - это нам не подходит (не будем же мы все свитчи менять на профессиональные, а старые выбрасывать на помойку)

Есть ли резон ставить оборудование по сегментам?

[Barsick]

не будем же мы все свитчи менять на профессиональные, а старые выбрасывать на помойку

Будете :)

Есть ли резон ставить оборудование по сегментам?

Есть, но внутри сегментов будет тот-же колхоз

[Diesel]

d-link 2108 - поделка на год, максимум 2, потом ломается в полевых условиях.

проверено.

так что тредстартеру выход один - использовать туннели. без вариантов.

[voovius]

Непонял что за "PPPoE" прошу просвятить.

google

 

Билинг стоит UTM-5, при включенном авторизаторе через сканер пробиваешь mac адре и ип, меняешь и юзаешь инет.

Шифрация паролей. MS-CHAPv2 ещё вроде не сломали. :)

Сломали. Резюме такое: для безопасности PPTP+MSCHAP V2 применять

не рекомендуется. Для хоть какой-то безопасности MSCHAP V2

пароли - не менее 8 символов и не менее 3-х классов символов (буквы+цифры+спецсимволы). Тогда задача сильно

осложнится. В тестовой лаборатории потребовалось 4 часа для отлова

паролей всех пользователей в локальной сети. MS-CHAP V2.

[olebedev]

Возможен еще один вариант, ставите в голову коммутатор, который умеет MAC-based 802.1х, а еще лучше чтобы он умел и MAC-based 802.1x и авторизацию по HTTP на этом же порту (реклама 3Com или HP :-)).

[boykov]

d-link 2108 - поделка на год, максимум 2, потом ломается в полевых условиях.

проверено.

так что тредстартеру выход один - использовать туннели. без вариантов.

 

Каким способом? Если я на нем делаю привязку port-mac, то как его поломать? Соседа же не выцепишь?

Конечно, у него есть ресёт, то это никого не спасет толком то.

[BETEPAH]

наверное имелось ввиду, что электролиты сохнут

[Diesel]

>>наверное имелось ввиду, что электролиты сохнут

 

Совершенно верно. Вы потрогайте, как он греется под нагрузкой.

В закрытой коробке летом - эффект вполне предсказуем.

[Programmer]

Предлагаю свой рабочий вариант: VPN с доменной авторизацией. скрипт из одной строки прописывается в автозапуск, логин и пароль берутся из контроллера домена. Можно настроить так, что пользователь даже не узнает, что у него VPN стоит.