Jump to content

Как запретить работать с одинаковыми IP-MAC?

newbie_2007
 Share

Recommended Posts

newbie_2007

newbie_2007

Posted
Posted

Доброе время суток!

 

Есть следующая проблема - пользователи в сети авторизуются на сервере с помощью специальной программы. После авторизации сервер пропускает IP адрес пользователя в интернет и через некоторое время запрашивает повторную авторизацию. Если она не проходит - доступ в интернет блокируется. Однако есть одно НО - если злонамеренный пользователь поставит себе IP и MAC уже авторизованного пользователя - он тоже начинает работать в сети, причем windows авторизованного пользователя не выдает никаких конфликтов IP адресов :(

 

Существует ли способ обнаружения таких событий? Управляемые коммутаторы у нас есть, однако большинство пользователей включаются в неуправляемые коммутаторы, которые уже, в свою очередь, включаются в порт управляемого коммутатора.

 

Можно ли сделать так, чтобы неуправляемый коммутатор не пропускал пакеты на одинаковые мак адреса, находящиеся на разных портах?

Mancubus

Mancubus

Posted
Posted

Не ждите чудес от неуправляемых комутаторов, она занимаються только пакетами несмотря в них. Для того, чтобы не было таких оказий нужно было либо использовать для авторизации VPN, PPPoE либо использовать ipmac binding

Nallien

Nallien

Posted
Posted

однако - можно существенно снизить количество таких случаев (это правда, напрямую зависит от тактического расположения и количества управляемого оборудования) - собственно - прописать на управлялках, какие маки через какой порт могут ходить... тоесть - злоумыщленник сможет пользовать жертву - только в сегменте ДО управляемого порта - ну а там уже можно вычислить кто это, и поступить с ним не хорошо.

Mancubus

Mancubus

Posted
Posted

Если использована подмена macip то злоумышлинника просто так Вы не найдете. Он просто нигде не всплывёт, единственное что может обнаружить подмену, это arping он выдаёт двойной ответ.

Nallien

Nallien

Posted
Posted

вычислить можно несколькими путями, мойлюбимый - социальный инжинеринг, но он требует навыка в общении с людьми...

 

так что следующий по любимости - находим предположительного злоумышленника и жертву (тем же арпингом) или скажем - есть группа и 5 подозреваемых. полностью слушаем трафик - и подвешиваем (примитивно) - прозрачный сквид, чтобы смотреть куда товарищи ходят. по результатам - определяем пользователя, который юзает больше всего там рамблеров, мэйл.ру... или лове.ком, а тут у него - хакер.ру - ну это к примеру, следим месяц, если злоумышленник умный, он будет менять не одну и туже связку мак-айпи, опять таки следим и ищем... потом можно провести акцию типа "к дню святого буратино" (бесплатный инет под предлогом праздника подозреваемым), и смотрим на самых подозреваемых полным снифом и логированием. находим сходство. проверяем еще несколько раз. когда результат будет очевидным - очень громко кричим и казним показательно. все. на практике - все проще.

newbie_2007

newbie_2007

Posted
  • Author
Posted

Наверное я не совсем точно описал суть проблемы. Управляемые коммутаторы с привязкой по порту есть, однако в каждый порт управляемого коммутатора включен неуправляемый, типа PS2216, куда уже включены конечные пользователи. И при использовании нашей самописной программы, и при использовании 802.1x наталкиваемся на следующие грабли: злонамеренному пользователю, (находящемуся на одном неуправляемом PS2216 с авторизованным пользователем) достаточно поставить IP и MAC авторизованного пользователя - и он начинает видеть остальные сегменты сети. Неуправляемый PS2216 (да и другие тоже, мы пробовали много) позволяет нормально работать в сети сразу двум пользователям с одинаковыми MAC адресами, находящимися на разных портах. А управляемый коммутатор видит их как один MAC на своем порту.

 

Насчет arping-а - идея хорошая. Однако злонамеренный пользователь вообще может отключить у себя отсылку ARP пакетов, прописав статически в ARP таблице MAC адрес маршрутизатора. Или нет?

 

Социальный инжиниринг - хороший способ, однако хочется по максимуму исключить все возможные пути воровства трафика, да и сеть достаточно большая.

Mancubus

Mancubus

Posted
Posted

А сниферы кто отменял? Если к Вас есть обычные компехи, то превратить их в хабы путём арпспуффинга не составляет проблеммы и все пакеты, даже с прописанным статически маком будут перехвачены. На настраивоемом железе такой фокус не пройдет, т.к. есть механизмы защиты.

А вообще ARP по-моему нельзя отключить. Можно отключить рассылку ARP при загрузке.

vIv

vIv

Posted
Posted

Наверное я не совсем точно описал суть проблемы. Управляемые коммутаторы с привязкой по порту есть, однако в каждый порт управляемого коммутатора включен неуправляемый

---

 

Выкинуть неуправляемые. Совсем. Всё, что тут говорится - про разные решения на УПРАВЛЯЕМЫХ коммутаторах. Для неуправляемых - только pppoe

vIv

vIv

Posted
Posted

Это к соседям :-)

Наш этаж на HP и CeLAN ориентируется. НР - понятно, почему. А недавно наконец нашли способ предварительных тестов CeLAN (точнее, пофигу, какой шилдик, - просто решили у них брать) на предмет подвисов и теперь умеем возить в РФ заведомо невиснущие под малтикастом или ошибками CeLANы. Правда "строго под заказ", - эти .... нехорошие люди сами не знают, что у них с фабрики приедет. Приходится ждать, тестировать, и потом решать, получилось живое или пусть на price.ru отправляют ;-)))

Взглянув на ФОТО - поймёшь, чем отличаются от блинка ;-)

 

Кстати, толи Рубики, то ли ЕС выкатили забавный свитч для многомода + симпатичную мыльницу абонентскую, тот же самый одноволоконный конвертер, но "бытового исполнения".

Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
Это к соседям :-)

Наш этаж на HP и CeLAN ориентируется. НР - понятно, почему. А недавно наконец нашли способ предварительных тестов CeLAN (точнее, пофигу, какой шилдик, - просто решили у них брать) на предмет подвисов и теперь умеем возить в РФ заведомо невиснущие под малтикастом или ошибками CeLANы. Правда "строго под заказ", - эти .... нехорошие люди сами не знают, что у них с фабрики приедет. Приходится ждать, тестировать, и потом решать, получилось живое или пусть на price.ru отправляют ;-)))

Взглянув на ФОТО - поймёшь, чем отличаются от блинка ;-)

 

Кстати, толи Рубики, то ли ЕС выкатили забавный свитч для многомода + симпатичную мыльницу абонентскую, тот же самый одноволоконный конвертер, но "бытового исполнения".

И что же за тест такой хитрый? :-)

vIv

vIv

Posted
Posted

Обьяснить грузчикам коробок, как запустить скрипт и что прочесть в отчёте.

 

Кстати, они хотя бы (произносится с ехидной улыбкой и помахивая рукой на фоты ЦэЛАНа и DES-35xx ;-) способны после пятнадцати пинков на неродном для них английском (не CeLAN сами - так хоть рядом живущие) понять, что некоторые глупые покупатели проверяют то, что покупают ;-)

vIv

vIv

Posted
Posted

Щас я как вспомню про ответы суппорта про traffic segmentation & stp ? ;-)

Ваш суппорт уже выяснил этот вопрос? ;-)

 

Я про то, что при "развороте" STP кусок кольца получается "обратно-доступным". Разработчик ообрудования что-нибудь предусмотрел для этого? Или STP не предполагается использовать вместе с TS ?

Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
Обьяснить грузчикам коробок, как запустить скрипт и что прочесть в отчёте.

 

Кстати, они хотя бы (произносится с ехидной улыбкой и помахивая рукой на фоты ЦэЛАНа и DES-35xx ;-) способны после пятнадцати пинков на неродном для них английском (не CeLAN сами - так хоть рядом живущие) понять, что некоторые глупые покупатели проверяют то, что покупают ;-)

честно? не понял в чем прикол?!

vIv

vIv

Posted
Posted
Обьяснить грузчикам коробок, как запустить скрипт и что прочесть в отчёте.

 

Кстати, они хотя бы (произносится с ехидной улыбкой и помахивая рукой на фоты ЦэЛАНа и DES-35xx ;-) способны после пятнадцати пинков на неродном для них английском (не CeLAN сами - так хоть рядом живущие) понять, что некоторые глупые покупатели проверяют то, что покупают ;-)

честно? не понял в чем прикол?!

 

http://forum.nag.ru/viewtopic.php?t=18439

 

В том, что у поганого китайского ноунейма стоит один расходник, да и тот в цепи питания, а матёрый разработчик и производитель эти "засадные" расходники с максимальным сроком службы ДВА ГОДА сыпет щедрою горстью. И даже не собирается думать о том, что будет с клиентами через эти самые два года (если использовать DES-35xx в кондиционированной серверной, а если в подвале, на крыше - через год)

Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
Обьяснить грузчикам коробок, как запустить скрипт и что прочесть в отчёте.

 

Кстати, они хотя бы (произносится с ехидной улыбкой и помахивая рукой на фоты ЦэЛАНа и DES-35xx ;-) способны после пятнадцати пинков на неродном для них английском (не CeLAN сами - так хоть рядом живущие) понять, что некоторые глупые покупатели проверяют то, что покупают ;-)

честно? не понял в чем прикол?!

 

http://forum.nag.ru/viewtopic.php?t=18439

 

В том, что у поганого китайского ноунейма стоит один расходник, да и тот в цепи питания, а матёрый разработчик и производитель эти "засадные" расходники с максимальным сроком службы ДВА ГОДА сыпет щедрою горстью. И даже не собирается думать о том, что будет с клиентами через эти самые два года (если использовать DES-35xx в кондиционированной серверной, а если в подвале, на крыше - через год)

извините, но шутка, которую повторяют раз за разом теряет совю актуальность - это если мягко сказать.

По сути - DES-3526 поставляются уже бльше 2-х лет и о каких-то надуманных Вами проблемах я не слышал!

BTW, если уж касаться вопороса заботы о клиентах - а Вы уверены, что нынешний (какой же по счету?) ваш "вендор" протянет 2 года? Или что вы его будете хотя бы год поставлять?

Можете не отвечать... Это так, вопросы для раздумья остальным посетителям.

Удачи и привет ноунейму! :-)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.