Jump to content
Калькуляторы

Подмена ip и мак

Добрый день!

 

Условие: имеем сеть, в ядре стоит L3 свич, на опорном узле L2, на уровне доступа мыльницы. В опорном узле, на каждый дом выделяется порт, в каждом доме по 5-10 юзеров, т.е. на порт свича L2 привязываем эти 5-10 МАК адресов.

Теперь вопрос: Как нам избежать подмены ip/МАК среди этих 5-10 юзеров, что бы избежать всякую авторизацию или установку управляемого железа на уровень доступа…

Если этого избежать нельзя, то хотя бы как сделать так что бы максимум обезопасить сеть от таких случаев, и как таких гадов вообще вылавливать..

Заранее благодарю, за ответы.

Share this post


Link to post
Share on other sites

Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

Edited by notsaint

Share this post


Link to post
Share on other sites

Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?

Share this post


Link to post
Share on other sites

Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?

Share this post


Link to post
Share on other sites

А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?
конфликта не будет, следовательно все будет у него работать.

если мыльницы на акцесс то только какой нибуть впн спасет,

или управляемое оборудованиее на акцесс

Share this post


Link to post
Share on other sites

имхо привязывать mac-адрес к пользователю - неправильно!!!

пользователь может сменить сетевуху, принести ноут. очень часто у пользователя бывает стационарный комп+ноут и он тыкает их поочередно....

Share this post


Link to post
Share on other sites

имхо привязывать mac-адрес к пользователю - неправильно!!!
А что привязывать правильно?

Вы считаете что перенести настройки TCP\IP на ноутбук пользователь в состоянии, а переписать мак - нет?

Имхо это операции одного уровня сложности.

Share this post


Link to post
Share on other sites

Правильно давать вилан на клиента и пускай прописывает себе что хочет, неправильно прописаное просто не будет работать. Или dhcp relay с порт секьюрити на акцессе. Или dot1x.

 

В любом случае все это требует установки управляемого оборудования в ценовой категории "не мыльница"

Share this post


Link to post
Share on other sites

В любом случае все это требует установки управляемого оборудования в ценовой категории "не мыльница"

Ага,а ещё очень много проблем снимается при наличии адекватной системы распознования "свой-чужой" и грамотного планирования настроек "чтоб случайно не путали" неприятным для сети образом.

Share this post


Link to post
Share on other sites

Пошло уже не по теме... Вопрос был в том что как обезопасить себя по максиму если управляемое оборудование стоит только на узле, а на уровне дотупа стоит мыльница..

Я понимаю, что без умных свичей 100% безопасности не получить, но как себя максимум уберечь?

Share this post


Link to post
Share on other sites

Выше уже ответили:
На мыльницах - никак. Либо vpn либо управляемые коммутаторы на access.

А Кац повторно предлагает сдаться :)

 

Всё замечательно можно сделать и на мыльницах, так чтоб клиент был доволен.

 

Главное подходить с головой.

Share this post


Link to post
Share on other sites

С технической точки зрения в пределах одной мыльницы в любом случае без использования vpn жулику остается отличная возможность для маневра. Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

Share this post


Link to post
Share on other sites

С технической точки зрения в пределах одной мыльницы в любом случае без использования vpn жулику остается отличная возможность для маневра. Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

Ага, а полностью уйти от возможности манёвров можно, только протянув по выделенному волокну до каждого пользователя :)

 

Я почти так и делал ( в 90х ) . Сажал "отличившихся" хакеров на отдельную витую пару до ближайшего роутера) ( тогда ещё PC )

Share this post


Link to post
Share on other sites

Можно если ставить мини комутатори с заточеной под вас прошивкой что би у пользователя небило возможности вмешатса в его работу и вот уже к нему делать привязку. Может есть какието прошивки для того же делинка.

Share this post


Link to post
Share on other sites

а что мешает сделать влан на этих 10чел? любая мыльница с нужной прошивкой это делает.

юзеры в пределах мыльницы невидят друг друга. соотвественно немешают. а дальше делай как хочеш.

Share this post


Link to post
Share on other sites

а что мешает сделать влан на этих 10чел? любая мыльница с нужной прошивкой это делает.

юзеры в пределах мыльницы невидят друг друга. соотвественно немешают. а дальше делай как хочеш.

не совсем понятно...

Share this post


Link to post
Share on other sites

Fog

а дальше :) на каком уровне собираетесь терминировать клиентов? ну есть тупой свичь, есть там ПЗУха и влан.. куда дальше вы тянете вланы юзеров?

Share this post


Link to post
Share on other sites

Не мерочить голову а отказаться от тупых мыльниц. Альтернатива например тем же компексам лайткомы, это как минимум, ну а максимум он и в африке максимум.

Share this post


Link to post
Share on other sites

Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.
Это понятно!

Но как выловить падонка?

Share this post


Link to post
Share on other sites

Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

Это понятно!

Но как выловить падонка?

Никак.

Share this post


Link to post
Share on other sites

Это понятно! Но как выловить падонка?

Ноутбук в зубы - и вперед, на чердак - отлавливать негодяя путем последовательного отключения портов коммутатора при постоянном пинговании искомого адреса.

Edited by Ruslan_R

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.