Erastik Опубликовано 22 августа, 2007 · Жалоба Добрый день! Условие: имеем сеть, в ядре стоит L3 свич, на опорном узле L2, на уровне доступа мыльницы. В опорном узле, на каждый дом выделяется порт, в каждом доме по 5-10 юзеров, т.е. на порт свича L2 привязываем эти 5-10 МАК адресов. Теперь вопрос: Как нам избежать подмены ip/МАК среди этих 5-10 юзеров, что бы избежать всякую авторизацию или установку управляемого железа на уровень доступа… Если этого избежать нельзя, то хотя бы как сделать так что бы максимум обезопасить сеть от таких случаев, и как таких гадов вообще вылавливать.. Заранее благодарю, за ответы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
notsaint Опубликовано 22 августа, 2007 (изменено) · Жалоба Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек. У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет. Изменено 22 августа, 2007 пользователем notsaint Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 22 августа, 2007 · Жалоба На мыльницах - никак. Либо vpn либо управляемые коммутаторы на access. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Erastik Опубликовано 22 августа, 2007 · Жалоба Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет. А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Erastik Опубликовано 22 августа, 2007 · Жалоба Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет. А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A79 Опубликовано 22 августа, 2007 · Жалоба А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?конфликта не будет, следовательно все будет у него работать.если мыльницы на акцесс то только какой нибуть впн спасет, или управляемое оборудованиее на акцесс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 22 августа, 2007 · Жалоба Заранее благодарю, за ответы. http://www2.nag.ru/forum/index.php?showtopic=37976 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
911 Опубликовано 22 августа, 2007 · Жалоба имхо привязывать mac-адрес к пользователю - неправильно!!! пользователь может сменить сетевуху, принести ноут. очень часто у пользователя бывает стационарный комп+ноут и он тыкает их поочередно.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diesel Опубликовано 23 августа, 2007 · Жалоба имхо привязывать mac-адрес к пользователю - неправильно!!!А что привязывать правильно?Вы считаете что перенести настройки TCP\IP на ноутбук пользователь в состоянии, а переписать мак - нет? Имхо это операции одного уровня сложности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 23 августа, 2007 · Жалоба Правильно давать вилан на клиента и пускай прописывает себе что хочет, неправильно прописаное просто не будет работать. Или dhcp relay с порт секьюрити на акцессе. Или dot1x. В любом случае все это требует установки управляемого оборудования в ценовой категории "не мыльница" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 24 августа, 2007 · Жалоба В любом случае все это требует установки управляемого оборудования в ценовой категории "не мыльница" Ага,а ещё очень много проблем снимается при наличии адекватной системы распознования "свой-чужой" и грамотного планирования настроек "чтоб случайно не путали" неприятным для сети образом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Erastik Опубликовано 24 августа, 2007 · Жалоба Пошло уже не по теме... Вопрос был в том что как обезопасить себя по максиму если управляемое оборудование стоит только на узле, а на уровне дотупа стоит мыльница.. Я понимаю, что без умных свичей 100% безопасности не получить, но как себя максимум уберечь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ruslan_R Опубликовано 24 августа, 2007 · Жалоба Выше уже ответили: На мыльницах - никак. Либо vpn либо управляемые коммутаторы на access. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 25 августа, 2007 · Жалоба Выше уже ответили:На мыльницах - никак. Либо vpn либо управляемые коммутаторы на access. А Кац повторно предлагает сдаться :) Всё замечательно можно сделать и на мыльницах, так чтоб клиент был доволен. Главное подходить с головой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 25 августа, 2007 · Жалоба С технической точки зрения в пределах одной мыльницы в любом случае без использования vpn жулику остается отличная возможность для маневра. Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 25 августа, 2007 · Жалоба С технической точки зрения в пределах одной мыльницы в любом случае без использования vpn жулику остается отличная возможность для маневра. Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния. Ага, а полностью уйти от возможности манёвров можно, только протянув по выделенному волокну до каждого пользователя :) Я почти так и делал ( в 90х ) . Сажал "отличившихся" хакеров на отдельную витую пару до ближайшего роутера) ( тогда ещё PC ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yrida Опубликовано 26 августа, 2007 · Жалоба Можно если ставить мини комутатори с заточеной под вас прошивкой что би у пользователя небило возможности вмешатса в его работу и вот уже к нему делать привязку. Может есть какието прошивки для того же делинка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fog Опубликовано 29 августа, 2007 · Жалоба а что мешает сделать влан на этих 10чел? любая мыльница с нужной прошивкой это делает. юзеры в пределах мыльницы невидят друг друга. соотвественно немешают. а дальше делай как хочеш. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Erastik Опубликовано 29 августа, 2007 · Жалоба а что мешает сделать влан на этих 10чел? любая мыльница с нужной прошивкой это делает.юзеры в пределах мыльницы невидят друг друга. соотвественно немешают. а дальше делай как хочеш. не совсем понятно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 31 августа, 2007 · Жалоба Fog а дальше :) на каком уровне собираетесь терминировать клиентов? ну есть тупой свичь, есть там ПЗУха и влан.. куда дальше вы тянете вланы юзеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 4 сентября, 2007 · Жалоба Не мерочить голову а отказаться от тупых мыльниц. Альтернатива например тем же компексам лайткомы, это как минимум, ну а максимум он и в африке максимум. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Erastik Опубликовано 5 сентября, 2007 · Жалоба Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.Это понятно!Но как выловить падонка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 5 сентября, 2007 · Жалоба Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.Это понятно!Но как выловить падонка? Никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ruslan_R Опубликовано 6 сентября, 2007 (изменено) · Жалоба Это понятно! Но как выловить падонка? Ноутбук в зубы - и вперед, на чердак - отлавливать негодяя путем последовательного отключения портов коммутатора при постоянном пинговании искомого адреса. Изменено 6 сентября, 2007 пользователем Ruslan_R Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...