Соответствие IP/mac в неуправляемой сети

[Vadi]

У нас маленькая сеть около 100 человек. Из них 19 нелегалов. Очень долго думали чтобы такого сделать, чтобы не обрезать кабели нелегалам, а заставить их заплатить за подключение и юзать инет.

Спустя какое-то время, решение нашлось.

Мы разработали специальную программу, которая работает под управлением FREEBSD. Эта программа позволяет нам делать следущие вещи:

- следить за тем чтобы определенному МАК адресу в сети соответствовал определенный IP (то есть при смене IP адреса или подмене МАКа, пользователь как бы вылетает из сети, и выскакивает предупреждение, что данный IP адрес используется другим компьютером, то есть вызван конфликт.

- блокировать тех, кто пользуется сетью (это бесплатная услуга, но ведь надо знать меру) и не пользуется интернетом. В нашем случае, если юзер не пользуется инетом больше месяца и находится в минусе, то он блокируется для работы в сети. Опять же, при включении компа, выдается конфликт айпишника и ни о какой работе в сети речи идти не может.

 

Данная примочка по сути предоставляет возможности по блокировки тех неадекватов, которым нечем заняться и от отсутствия денег они либо ХАЦКАЮТ сеть, либо пытаются воровать интернет, либо просто не могут жить спокойно.

 

Честно сказать, что после введения такой системы в нашей сетке, не все сразу ринулись оплачивать нелегальное подключение. Прошло полгода, вчера отдал деньги 18-й нелегал. Первые три месяца некоторые просто немоглт оддуплить что происходит, потом пошел слух, потом стали звонить в саппорт и интересоваться чо как, причем самым изощренным способом. Но в итоге, мы довольны, сетка работает стабильнее, меньше жалоб на конфликт айпишников, меньше лагов, и всегда, при ремонте сети знаешь что этот айпишник именно в том доме в той квартире, а не с другого конца района.

 

короче вот такие пироги.

Если кому интересно, можем помочь с такой фишкой.

пишите в личку или на мыло.

[vIv]

мегаскрипт приписывания адресов себе самому? :-D

 

а мегаскрипт прописывания себе чужих MAC+IP у вас в прейскуранте есть? =)

Edited July 31, 2006 by vIv

[ram_scan]

Что только люди не придумают чтобы управляемых свитчей не покупать =)

[puh]

кажется, только на этом форуме вижу уже четвёртое или пятое предложение с подобной функциональностью...

[desperado]

кажется, только на этом форуме вижу уже четвёртое или пятое предложение с подобной функциональностью...

это одно и тоже, просто очень навязчиво :)

[Nallien]

хэх.... все это обходиться :( и не так уж сложно... хотя бы статическая АРП таблица...

[Барий]

Да кто спорит, конечно обходится. Ну обойдет это 1 обычный домовой юзер из 100... Больше геморроя, нежели адреналина. Остальные 99 просто будут вовремя платить деньги.

Да и то, нормально обойти (чтоб не засветится) грамотный софт подобной функциональности надо еще уметь. Прописывание статической арп таблицы на одном конце может не помочь, есть еще другой конец, который тоже травится.

Как временное решение имхо использовать можно.

[vIv]

можно, ога... стоимость такого мега-решения - около одного-двух долларов, - надо купить сисадмину две бутылки пива, пусть скриптик напишет и в крон засунет.

[Korj]

vIv, Ну что вы! Не портите человеку малину! Барий только хотел, видимо, следующей мессагой написать "а кстати зачем вам на FreeBSD, купите у меня виндовую!" (не виртуал ли Vadi?), а Вы тут до 2 батлов пива цену сбили! :)))

[vIv]

ааа!!... ещё и виндоооовую?... :>

[teodor]

Да и то, нормально обойти (чтоб не засветится) грамотный софт подобной функциональности надо еще уметь.

Ух ты, оказывается для "нормальной" смены MAC IP требуется то же супер-мега-софт с супер-мега-грамотной-функцианальностью... И его Барий то же может продать.

Ну и вопрос Барию в догонку, как может юзер засветиться? он ведь не уран подменяет, а всего-лишь IP и MAC.

[Барий]

Korj, нет, не виртуал я никакого vadi.

А че тебя так напрягает-то l2nt? С чего бы это...

 

Есть всем известный софт под юникс: ip-sentinel (linux), ipguard (freebsd), многие им пользуются, бесплатно. Но это под юникс. Кто сказал что подобные вещи под винду должны быть бесплатно? Ты если не хочешь - дак не покупай, я тебя не заставляю.

 

teodor, грамотный не засветится, обычный попадется.

[vIv]

GUARD не гарантирует 100% защиту сети от несанкционированного доступа, не претендует на отключение узлов, сходное с отключением кабеля от коммутатора и не дает 100% гарантии того, что в контролируемом сегменте никто не сможет сменить свои адреса. С другой стороны, такой гарантии не сможет дать никто, вне зависимости от используемого сетевого оборудования и, учитывая тот факт, что пользователи сети абсолютно не ограничены в правах.

:-)))))

 

Им ещё не рассказали про управляемые коммутаторы :-))

[ISQman]

Интересная фича, понимаю что не все траблы можно таким образом решить, но можно сюда чуть подробнее? например на чём основана, какие протоколы используете, и какие связки?

Edited August 8, 2008 by ISQman

[Baikal]

ребята, а откуда у вас столько нелегалов набралось, у вас свичи что на крышах закопаны?

19 человек откуда такая цифра, это должники или среди них есть те, кто сами подключились к вашей сети?

Может должников просто из портов отключать :) Сообщение "Кабель не подключен" напомнит им что надо заплатить.

 

[l-servise2]

ребята, а откуда у вас столько нелегалов набралось, у вас свичи что на крышах закопаны?

19 человек откуда такая цифра, это должники или среди них есть те, кто сами подключились к вашей сети?

Может должников просто из портов отключать :) Сообщение "Кабель не подключен" напомнит им что надо заплатить.

Это с одной стороны, а с другой - вот у него там коммутаторов штук 50 и че каждый день обход делать, мол подключился кто к порту...

 

Да я понимаю, управляемые коммутаторы рулят, но не у всех на них денег хватает! Вот собираемся сеть в частной зоне тянуть, так я лучше вместо управляемых простые, а на разницу кабель покачественнее возьму, а в дальнейшем может и управляемые воткнем, если смысл будет!

Edited August 10, 2008 by l-servise2

[disappointed]

некоторые просто немоглт оддуплить что происходит

Редко тут такую лексику встретишь. На hub.ru в самый раз бы.

 

потом стали звонить в саппорт

Инженера высшей категории требовать?

 

Мы разработали специальную программу, которая работает под управлением FREEBSD.

Ipguard в портах не видели судя по всему. Ну теперь будете знать.

 

блокировать тех, кто пользуется сетью (это бесплатная услуга, но ведь надо знать меру) и не пользуется интернетом

А зачем вообще дифференцировать их? Идите вон сортиры мойте бесплатно. Вы же талантливый человек. Взял тряпку - помыл сортир. Бесплатная услуга. Увидел заср$ный толчок - взял деньги за отмывку дер$ма с него. Аналог вашей работы сейчас.

 

Есть над чем задуматься.

Edited August 10, 2008 by disappointed

[Ruslan_R]

За два прошедших года, наверное, многое изменилось :)

[disappointed]

Чёрт..... был не в настроении. не заметил.

[SmokerMan]

"Извините. Был напуган"(с)Анекдот

[fAnt1ksx]

Вот когда дело дойдет до трояна с арп-спуффингом, тогда ваш супер скрипт с алиасами на сетевку уже не поможет.

[l-servise2]

За два прошедших года, наверное, многое изменилось :)

И правда, я тоже не заметил :) И где ее только откопали))

[ISQman]

За два прошедших года, наверное, многое изменилось :)

И правда, я тоже не заметил :) И где ее только откопали))

ы) я сам не заметил))))

вот столкнулся с подобной херью (не только нелегалы) вот и решил отписать, а раз предложили прогу)))) почему б и нет...

сейчас сам пишу програмульку, правда на перле, мож чтонить и получится (хотя бы элементарную защиту от школьников можно сделать), а так просто нужна моральная поддержка и помощь в ответах на глупые вопросы по перлу))))

[ilia_2s]

Теперь самое время пойти в схемы, там показано как за 10 бакинских рублей можно сделать из коммутатора за 20 управляемый. Я думаю ребяткам в тему будет. А за 2 года наверное сеть развалилась?

[BlackDeath]

Так сказать: "проходя мимо" :)

 

Поскольку у нас роутингом локалки занимается Huawei а не софт-роутер, то соответственно трабла со сменой ip не решалась установкой ipguard :(

Вопсчем написал софтину - которая по snmp v3 опрашивает Huawei и собирает с него arp таблицу, сравнивает текущую с сохраненной ранее таблицей в MySQL и делает следующее:

1. Если из пары ip-mac ни ip ни mac еще не встречались в других парах - то естественно длбавляет эту пару как новую запись в мускул.

2. Если mac из пары ip-mac уже был замечен в связке с другим ip - то скидывает эту запись в отдельную таблицу мускула (завется diff), и добавляется событие о захвате mac-ом чужого ip.

3. Если ip из пары уже был замечен в другой связке - тупо не реагирует (сначала реагировала, однако как показала практика это событие и нафиг не надо :) )

4. Если mac из пары находился в таблице "diff" и теперь появился в связке со своим "основным" ip - то он убирается из diff и добавляется событие о возврате macа на родной ip.

5. Если имеется более 5 записей mac-ip с одинаковым mac-ом - считаем это трояном с arp-spoofing и заносим его в таблицу вирусников паралельно запуская pl скрипт с передачей ему mac-a вирусника, скрипт в свою очередь идет по telnet на huawei и добавляет запись в acl вирусников, который навешивает на все интерфейсы. Кроме того по возникновению данного события отсылается e-mail админу с mac-ом вирусника.

 

Также есть таблица в которой хранятся пары ip-mac, смены между которыми надо просто игнорировать (вариант когда 2ip на одном интерфейсе висят алиасом).

 

Ко всему этому добру есть веб-морда в которой ясно видны все съезды/переезды ip по mac-ам и вирусники с возможностью их разблокировки.

Откомпилено это все на FreeBSD, впринципе использовался чистый си + net-snmp библиотеки - поидеи должна компилиться на любой *nix платформе. Поскольку для опроса arp таблицы используются стандартные snmp mib - то теоретически способна работать с любой железякой поддержующей эти самые mib.... И скрипт блокировки/разблокировки вирусников также можно переписать для работы с любой железкой.

 

Еще раз повторюсь - что это решение было сделано для работы с аппаратным роутером ибо для софтварного итак есть прекрасные проги :)