Jump to content

Подмена ip и мак

Erastik
 Share

Recommended Posts

Erastik

Erastik

Posted
Posted

Добрый день!

 

Условие: имеем сеть, в ядре стоит L3 свич, на опорном узле L2, на уровне доступа мыльницы. В опорном узле, на каждый дом выделяется порт, в каждом доме по 5-10 юзеров, т.е. на порт свича L2 привязываем эти 5-10 МАК адресов.

Теперь вопрос: Как нам избежать подмены ip/МАК среди этих 5-10 юзеров, что бы избежать всякую авторизацию или установку управляемого железа на уровень доступа…

Если этого избежать нельзя, то хотя бы как сделать так что бы максимум обезопасить сеть от таких случаев, и как таких гадов вообще вылавливать..

Заранее благодарю, за ответы.

notsaint

notsaint

Posted
Posted (edited)

Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

Edited by notsaint
Erastik

Erastik

Posted
  • Author
Posted
Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?
Erastik

Erastik

Posted
  • Author
Posted
Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?
A79

A79

Posted
Posted
А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?
конфликта не будет, следовательно все будет у него работать.

если мыльницы на акцесс то только какой нибуть впн спасет,

или управляемое оборудованиее на акцесс

911

911

Posted
Posted

имхо привязывать mac-адрес к пользователю - неправильно!!!

пользователь может сменить сетевуху, принести ноут. очень часто у пользователя бывает стационарный комп+ноут и он тыкает их поочередно....

Diesel

Diesel

Posted
Posted
имхо привязывать mac-адрес к пользователю - неправильно!!!
А что привязывать правильно?

Вы считаете что перенести настройки TCP\IP на ноутбук пользователь в состоянии, а переписать мак - нет?

Имхо это операции одного уровня сложности.

ram_scan

ram_scan

Posted
Posted

Правильно давать вилан на клиента и пускай прописывает себе что хочет, неправильно прописаное просто не будет работать. Или dhcp relay с порт секьюрити на акцессе. Или dot1x.

 

В любом случае все это требует установки управляемого оборудования в ценовой категории "не мыльница"

LostSoul

LostSoul

Posted
Posted

В любом случае все это требует установки управляемого оборудования в ценовой категории "не мыльница"

Ага,а ещё очень много проблем снимается при наличии адекватной системы распознования "свой-чужой" и грамотного планирования настроек "чтоб случайно не путали" неприятным для сети образом.

Erastik

Erastik

Posted
  • Author
Posted

Пошло уже не по теме... Вопрос был в том что как обезопасить себя по максиму если управляемое оборудование стоит только на узле, а на уровне дотупа стоит мыльница..

Я понимаю, что без умных свичей 100% безопасности не получить, но как себя максимум уберечь?

LostSoul

LostSoul

Posted
Posted
Выше уже ответили:
На мыльницах - никак. Либо vpn либо управляемые коммутаторы на access.

А Кац повторно предлагает сдаться :)

 

Всё замечательно можно сделать и на мыльницах, так чтоб клиент был доволен.

 

Главное подходить с головой.

ram_scan

ram_scan

Posted
Posted

С технической точки зрения в пределах одной мыльницы в любом случае без использования vpn жулику остается отличная возможность для маневра. Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

LostSoul

LostSoul

Posted
Posted
С технической точки зрения в пределах одной мыльницы в любом случае без использования vpn жулику остается отличная возможность для маневра. Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

Ага, а полностью уйти от возможности манёвров можно, только протянув по выделенному волокну до каждого пользователя :)

 

Я почти так и делал ( в 90х ) . Сажал "отличившихся" хакеров на отдельную витую пару до ближайшего роутера) ( тогда ещё PC )

yrida

yrida

Posted
Posted

Можно если ставить мини комутатори с заточеной под вас прошивкой что би у пользователя небило возможности вмешатса в его работу и вот уже к нему делать привязку. Может есть какието прошивки для того же делинка.

Fog

Fog

Posted
Posted

а что мешает сделать влан на этих 10чел? любая мыльница с нужной прошивкой это делает.

юзеры в пределах мыльницы невидят друг друга. соотвественно немешают. а дальше делай как хочеш.

Erastik

Erastik

Posted
  • Author
Posted
а что мешает сделать влан на этих 10чел? любая мыльница с нужной прошивкой это делает.

юзеры в пределах мыльницы невидят друг друга. соотвественно немешают. а дальше делай как хочеш.

не совсем понятно...
zoro

zoro

Posted
Posted
Fog

а дальше :) на каком уровне собираетесь терминировать клиентов? ну есть тупой свичь, есть там ПЗУха и влан.. куда дальше вы тянете вланы юзеров?

No_name

No_name

Posted
Posted

Не мерочить голову а отказаться от тупых мыльниц. Альтернатива например тем же компексам лайткомы, это как минимум, ну а максимум он и в африке максимум.

Erastik

Erastik

Posted
  • Author
Posted
Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.
Это понятно!

Но как выловить падонка?

No_name

No_name

Posted
Posted

Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

Это понятно!

Но как выловить падонка?

Никак.
Ruslan_R

Ruslan_R

Posted
Posted (edited)

Это понятно! Но как выловить падонка?

Ноутбук в зубы - и вперед, на чердак - отлавливать негодяя путем последовательного отключения портов коммутатора при постоянном пинговании искомого адреса.

Edited by Ruslan_R

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.