Борьба с подделкой адресов MAC и IP в локальной сети

[Guest]

С подделкой MAC боремся так - на портах управляемых коммутаторов прописываем MAC для каждого порта. Чужой MAC уже не подставишь. А что делать с IP? Как на сервере Windows NT сделать статическую ARP-таблицу? Не умеет windows работать со стат. ARP таблицами. Прописываем статический адрес, а при первом же ответе ARP windows меняет запись в таблице. Кто сталкивался с проблемой? Как решить ее? Не предлагайте переход на *nix. В настоящее время нет возможности.

[avial]

Вариант - ставить машинку с юниксом и arpwatch на ней.

Самая слабая потянет. Естественно, с серваком свичем они не должны быть разделены. Ну или перенаправлением трафика, раз уж свичи управляемые, если умеют. В общем, весь трафик, попадаемый на сервак, должен попадать и на эту машинку. О всех подменах скажет по почте.

[Mi4el]

С подделкой MAC боремся так - на портах управляемых коммутаторов прописываем MAC для каждого порта. Чужой MAC уже не подставишь. А что делать с IP? Как на сервере Windows NT сделать статическую ARP-таблицу? Не умеет windows работать со стат. ARP таблицами. Прописываем статический адрес, а при первом же ответе ARP windows меняет запись в таблице. Кто сталкивался с проблемой? Как решить ее? Не предлагайте переход на *nix. В настоящее время нет возможности.

Извращенский (единственный ?) способ:

1. Пишем скрипт на perl (http://www.activeperl.com) или в пакетном файле (*.bat) создаем статическую таблицу. (ставим скрипт на запуск по расписанию по событию - win start).

2. Мониторим эту таблицу другим скриптом, perl или *.bat на изменение:

Вот примерно идея:

------------------------------cut------------------------------

#!perl

print "Content-type: text/htmlnn";

$output_string=`arp -a 10.0.0.3`;

($a1,$a2,$a3,$a4,$a5,$a6,$a7,$a8,$a9,$a10,$a11,$a12)=split(" ",$output_string);

print "$output_string<br>";

print "$a1,$a2,$a3,$a4,$a5,$a6,$a7,$a8,$a9,$a10,$a11,$a12<br>";

print "IP - address->$a10<br>";

print "ARP - ident->$a11<br>";

if ....

------------------------------eof------------------------------

3. В случае её изменения прибиваем пакеты на воинствующий IP адрес, шлем письма админу и т.д .. т.п....

Прибиваем так примерно:

netsh ro ip add filter name="internet" filtertype=input

srcaddr=xxx.xxx.xxx.xxx srcmask=255.255.255.255 dstaddr=yyy.yyy.yyy.yyy dstmask=255.255.255.255 proto=any

 

Ну как способ ?

[Nag]

Примерно так у нас один пров действует в городе. ;-)

Не то чтоб сильно эффективно, но от пионеров вроде спасает...

[DrDiesel]

и в который раз вопрос, а если я MAC поменяю? не сложнее, чем IP...

[Guest]

и в который раз вопрос, а если я MAC поменяю? не сложнее, чем IP...

От подмены MAC спасает управляемый коммутатор. И от атак ARP тоже. Как заставит винду работать со статической ARP таблицей? Ну нет у меня сейчас вохможности ставить *nix.

[Guest]

В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены.

[Maxim]

В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены.

А зачем искать подмену IP! Можно трафик по МАС посчитать! У меня пока VPN не стоял, я считал трафик по МАС! Стоит 2000. А МАС, соответсвенно, поменять упр. коммутатор не даст! Но лучше всего по VPN считать! Пока ничего не наковыряли умельцы!

[Slavik]

В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены.

А зачем искать подмену IP! Можно трафик по МАС посчитать! У меня пока VPN не стоял, я считал трафик по МАС! Стоит 2000. А МАС, соответсвенно, поменять упр. коммутатор не даст! Но лучше всего по VPN считать! Пока ничего не наковыряли умельцы!

 

У тебя просто умельцев в сети нет :) Пока :))))

Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился?

[Guest]

У тебя просто умельцев в сети нет :) Пока :))))

Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился?

 

Блин, говорю же, что сеть на управляемых коммутаторах!

[Slavik]

У тебя просто умельцев в сети нет :) Пока :))))

Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился?

 

Блин, говорю же, что сеть на управляемых коммутаторах!

 

Извини. мое сообщение было больше адресовано Максиму.

[Slavik]

Вариант - ставить машинку с юниксом и arpwatch на ней.

Самая слабая потянет. Естественно, с серваком свичем они не должны быть разделены. Ну или перенаправлением трафика, раз уж свичи управляемые, если умеют. В общем, весь трафик, попадаемый на сервак, должен попадать и на эту машинку. О всех подменах скажет по почте.

 

Если менять "грамотно", то не скажет.

Менять надо одновременно три параметра - mac, имя станции, ip.

И тогда никакой arpwatch ничего не заметит.

 

Кстати, если ставить фрю, то можно вести таблицу ARP на внутреннем интерфейсе ручками, тогда никакой arpwatch не нужен.

 

Решение только одно, управляемый комутатор и опереционка поддерживающая статические привязки mac <-> ip.

[Maxim]

У тебя просто умельцев в сети нет :) Пока :))))

Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился?

А я отвечаю на вопрос! А ты ходишь вокруг моих ящиков, и знать не можешь, что там стоит! А подмена мне по барабану, у меня VPN поднят!

А у тебя самого то инет какой, или диалап решил раздать? И какое дело тебе в какой подсети у меня почта? У тебя все равно зверьков.нет, а у меня есть!

[Slavik]

У тебя просто умельцев в сети нет :) Пока :))))

Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился?

А я отвечаю на вопрос! А ты ходишь вокруг моих ящиков, и знать не можешь, что там стоит! А подмена мне по барабану, у меня VPN поднят!

А у тебя самого то инет какой, или диалап решил раздать? И какое дело тебе в какой подсети у меня почта? У тебя все равно зверьков.нет, а у меня есть!

 

Что я могу сказать... Сорри, что так грубо отреагировал на твое письмо... На мой вгляд, ты затронул тему с которой у тебя у самого все _очень_ плохо. А про VPN, я так и не понял, почему ты сразу с этого не начал? Кстати, нета у меня вообще НЕТ :))) Я тебе уже говорил - мы не конкуренты...

[Maxim]

Что я могу сказать... Сорри, что так грубо отреагировал на твое письмо... На мой вгляд, ты затронул тему с которой у тебя у самого все _очень_ плохо. А про VPN, я так и не понял, почему ты сразу с этого не начал? Кстати, нета у меня вообще НЕТ :))) Я тебе уже говорил - мы не конкуренты...

Значит ты плохо осведомлен! У меня СРАЗУ VPN поднят был!

[Rebel]

Боже боже!:) какой геморой .... да еще и на виндовс:)).. какой мак/ип?? мак/ип - изначально ущербная весчь. ВЧС - тоже решение, но только временное. Должен быть ТОЛЬКО логин/пароль и ТОЛЬКО через SSL. :)

ALWAYS - и никаких проблем:)

[Slavik]

Что я могу сказать... Сорри, что так грубо отреагировал на твое письмо... На мой вгляд, ты затронул тему с которой у тебя у самого все _очень_ плохо. А про VPN, я так и не понял, почему ты сразу с этого не начал? Кстати, нета у меня вообще НЕТ :))) Я тебе уже говорил - мы не конкуренты...

Значит ты плохо осведомлен! У меня СРАЗУ VPN поднят был!

 

Да я и не осведомлялся, ты же сам сказал, что раньше считал по макам, а теперь у тебя VPN...

 

Не отвечай на это сообщение - давай закончим этот бесполезный разговор.

[Vetal]

Да разговор на самом деле бесполезный. Установка ВПН решает все проблемы

по взлому и воровству трафика. У меня три сети в разных районах города связаны через одного прова, поднял ВПН и все проблемы отпали.

 

ЗЫ. Для особо бедных можно отключать шифрацию всего трафика, а оставить только криптованый пароль, это поможет на машине типа Cyrix 200/128Мб работать около 30-40 пользователям.

[piroJOKE]

Должен быть ТОЛЬКО логин/пароль и ТОЛЬКО через SSL. :)

А можно подробней, как это реализовано?

[stb]

В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены.

 

что такое "неизменное" -- это то, изменения чего мы не замечаем! :)

 

sarp.bat

arp -s x.x.x.x xx-xx-xx-xx-xx-xx

sleep 2

sarp.bat

[Bushi]

В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены.

 

что такое "неизменное" -- это то, изменения чего мы не замечаем! :)

 

sarp.bat

arp -s x.x.x.x xx-xx-xx-xx-xx-xx

sleep 2

sarp.bat

 

DrZlo - это был я, просто логин потерял. Проблема была давно решена заменой NT на FreeBSD. Статический ARP на фре + привязка MAC на коммутаторах + DHCP со статическими записями - чужой трафик можно использовать, только подключившись к чужому проводу, установив чужой MAC и IP. За такое сразу по шее и вон из сети.

[Saalan]

От подмены MAC спасает управляемый коммутатор. И от атак ARP тоже. Как заставит винду работать со статической ARP таблицей? Ну нет у меня сейчас вохможности ставить *nix.

Привет, хотя я живу и под *nix и пользую серьезную прогу, которая и за маками следит и за IP и о попытках сниферить или менять IP или MAC. Но это все не для таррификации Интернета, а для стабильной работы сети, чтобы умники не пытались испортить жизнь соседу отравляя ARP cashe или пользуя снифера. Единственным 99.999% способом считаю управляемые коммутаторы, пусть не везде хотябы разделить сеть на несколько подсетей, чтобы проще было.

 

А посему вопрос, какие управляемые коммутаторы вы применяете?

Как со статистикой зависания?

[ASM]

С подделкой MAC боремся так - на портах управляемых коммутаторов прописываем MAC для каждого порта. Чужой MAC уже не подставишь. А что делать с IP? Как на сервере Windows NT сделать статическую ARP-таблицу? Не умеет windows работать со стат. ARP таблицами. Прописываем статический адрес, а при первом же ответе ARP windows меняет запись в таблице. Кто сталкивался с проблемой? Как решить ее? Не предлагайте переход на *nix. В настоящее время нет возможности.

 

Если нет необходимости в шифрации трафика от клиента до роутера, то оптимальнее всего поставить HotSpot сервер-роутер.

Роутер обеспечит привязку IP <=> MAC, а HotSpot - проверку юзера по логину и паролю (шифруется броузером по MD5).

Кроме того, получите удобную возможность выставлять клиенту RX/TX скорость, ограничение на трафик и время работы в Инете.

 

Спецификация: http://www.mt.lv/Documentation/manual_2.7/...IP/Hotspot.html

[Sergey_osv]

Вообще есть интересные решения защиты от подстановки IP

на базе VPN

я тут читал на сайте www.vpn-connect.ru

IP дается по паролю как в модеме и хрен че подставишь

[shs]

Вообще есть интересные решения защиты от подстановки IP

на базе VPN

я тут читал на сайте www.vpn-connect.ru

IP дается по паролю как в модеме и хрен че подставишь

За такие деньги ???

Особенно учитывая что ничего нового я там не увидел.

Всё решается уже имеющимися пакетами, и наличием у человека мозгов.

 

А вот еще прикольнее:

Со стороны сервера модуль POPTOP ?слушает? входящие соединения и, получив пакет с запросом на соединение, передает имя и пароль пользователя модулю авторизации. 



Модуль авторизации вызывает функцию авторизации. Если авторизация неуспешна, то модулю POPTOP приходит отрицательный ответ и соединение не устанавливается. Если ответ положителен то POPTOP устанавливает PPTP соединение с компьютером пользователя.(Создает со своей стороны виртуальный VPN адаптер)

Интерестно какое отношение имеет poptop к авторизации клиента ???

Короче - не стоит оно тех денег, что за него просят.