[Erastik]

Добрый день!

 

Условие: имеем сеть, в ядре стоит L3 свич, на опорном узле L2, на уровне доступа мыльницы. В опорном узле, на каждый дом выделяется порт, в каждом доме по 5-10 юзеров, т.е. на порт свича L2 привязываем эти 5-10 МАК адресов.

Теперь вопрос: Как нам избежать подмены ip/МАК среди этих 5-10 юзеров, что бы избежать всякую авторизацию или установку управляемого железа на уровень доступа…

Если этого избежать нельзя, то хотя бы как сделать так что бы максимум обезопасить сеть от таких случаев, и как таких гадов вообще вылавливать..

Заранее благодарю, за ответы.

[notsaint]

Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

Изменено 22 августа, 2007 пользователем notsaint

[ram_scan]

На мыльницах - никак. Либо vpn либо управляемые коммутаторы на access.

[Erastik]

Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?

[Erastik]

Просто забить, при локализации проблемы до 10 человек горе хакер 100% вычисляется анализом трафика(смотришь что лили в момент подмены мака и ищешь это же у соседей). Один раз предупредить родителей ксакепа - обычно хватает. И показательно выгнать пару человек.

У меня из 900 клиентов реально воровал ОДИН. Кто-то конечно ещё балуется - но жалоб нет.

А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?

[A79]

А если он будет подменивать МАК и АйПи только в тот моммент когда у того кого он подменяет комп выключен..?

конфликта не будет, следовательно все будет у него работать.

если мыльницы на акцесс то только какой нибуть впн спасет,

или управляемое оборудованиее на акцесс

[LostSoul]

Заранее благодарю, за ответы.

http://www2.nag.ru/forum/index.php?showtopic=37976

[911]

имхо привязывать mac-адрес к пользователю - неправильно!!!

пользователь может сменить сетевуху, принести ноут. очень часто у пользователя бывает стационарный комп+ноут и он тыкает их поочередно....

[Diesel]

имхо привязывать mac-адрес к пользователю - неправильно!!!

А что привязывать правильно?

Вы считаете что перенести настройки TCP\IP на ноутбук пользователь в состоянии, а переписать мак - нет?

Имхо это операции одного уровня сложности.

[ram_scan]

Правильно давать вилан на клиента и пускай прописывает себе что хочет, неправильно прописаное просто не будет работать. Или dhcp relay с порт секьюрити на акцессе. Или dot1x.

 

В любом случае все это требует установки управляемого оборудования в ценовой категории "не мыльница"

[LostSoul]

В любом случае все это требует установки управляемого оборудования в ценовой категории "не мыльница"

Ага,а ещё очень много проблем снимается при наличии адекватной системы распознования "свой-чужой" и грамотного планирования настроек "чтоб случайно не путали" неприятным для сети образом.

[Erastik]

Пошло уже не по теме... Вопрос был в том что как обезопасить себя по максиму если управляемое оборудование стоит только на узле, а на уровне дотупа стоит мыльница..

Я понимаю, что без умных свичей 100% безопасности не получить, но как себя максимум уберечь?

[Ruslan_R]

Выше уже ответили:

На мыльницах - никак. Либо vpn либо управляемые коммутаторы на access.

 

[LostSoul]

Выше уже ответили:

На мыльницах - никак. Либо vpn либо управляемые коммутаторы на access.

А Кац повторно предлагает сдаться :)

 

Всё замечательно можно сделать и на мыльницах, так чтоб клиент был доволен.

 

Главное подходить с головой.

[ram_scan]

С технической точки зрения в пределах одной мыльницы в любом случае без использования vpn жулику остается отличная возможность для маневра. Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

[LostSoul]

С технической точки зрения в пределах одной мыльницы в любом случае без использования vpn жулику остается отличная возможность для маневра. Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

Ага, а полностью уйти от возможности манёвров можно, только протянув по выделенному волокну до каждого пользователя :)

 

Я почти так и делал ( в 90х ) . Сажал "отличившихся" хакеров на отдельную витую пару до ближайшего роутера) ( тогда ещё PC )

[yrida]

Можно если ставить мини комутатори с заточеной под вас прошивкой что би у пользователя небило возможности вмешатса в его работу и вот уже к нему делать привязку. Может есть какието прошивки для того же делинка.

[Fog]

а что мешает сделать влан на этих 10чел? любая мыльница с нужной прошивкой это делает.

юзеры в пределах мыльницы невидят друг друга. соотвественно немешают. а дальше делай как хочеш.

[Erastik]

а что мешает сделать влан на этих 10чел? любая мыльница с нужной прошивкой это делает.

юзеры в пределах мыльницы невидят друг друга. соотвественно немешают. а дальше делай как хочеш.

не совсем понятно...

[zoro]

Fog

а дальше :) на каком уровне собираетесь терминировать клиентов? ну есть тупой свичь, есть там ПЗУха и влан.. куда дальше вы тянете вланы юзеров?

[No_name]

Не мерочить голову а отказаться от тупых мыльниц. Альтернатива например тем же компексам лайткомы, это как минимум, ну а максимум он и в африке максимум.

[Erastik]

Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

Это понятно!

Но как выловить падонка?

[No_name]

Поэтому если не менять технологию и оборудование, то остаются только организационно-воспитательные или экономические способы влияния.

Это понятно!

Но как выловить падонка?

Никак.

[Ruslan_R]

Это понятно! Но как выловить падонка?

Ноутбук в зубы - и вперед, на чердак - отлавливать негодяя путем последовательного отключения портов коммутатора при постоянном пинговании искомого адреса.

Изменено 6 сентября, 2007 пользователем Ruslan_R