Гость Опубликовано 17 ноября, 2002 · Жалоба С подделкой MAC боремся так - на портах управляемых коммутаторов прописываем MAC для каждого порта. Чужой MAC уже не подставишь. А что делать с IP? Как на сервере Windows NT сделать статическую ARP-таблицу? Не умеет windows работать со стат. ARP таблицами. Прописываем статический адрес, а при первом же ответе ARP windows меняет запись в таблице. Кто сталкивался с проблемой? Как решить ее? Не предлагайте переход на *nix. В настоящее время нет возможности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avial Опубликовано 17 ноября, 2002 · Жалоба Вариант - ставить машинку с юниксом и arpwatch на ней. Самая слабая потянет. Естественно, с серваком свичем они не должны быть разделены. Ну или перенаправлением трафика, раз уж свичи управляемые, если умеют. В общем, весь трафик, попадаемый на сервак, должен попадать и на эту машинку. О всех подменах скажет по почте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mi4el Опубликовано 17 ноября, 2002 · Жалоба С подделкой MAC боремся так - на портах управляемых коммутаторов прописываем MAC для каждого порта. Чужой MAC уже не подставишь. А что делать с IP? Как на сервере Windows NT сделать статическую ARP-таблицу? Не умеет windows работать со стат. ARP таблицами. Прописываем статический адрес, а при первом же ответе ARP windows меняет запись в таблице. Кто сталкивался с проблемой? Как решить ее? Не предлагайте переход на *nix. В настоящее время нет возможности. Извращенский (единственный ?) способ: 1. Пишем скрипт на perl (http://www.activeperl.com) или в пакетном файле (*.bat) создаем статическую таблицу. (ставим скрипт на запуск по расписанию по событию - win start). 2. Мониторим эту таблицу другим скриптом, perl или *.bat на изменение: Вот примерно идея: ------------------------------cut------------------------------ #!perl print "Content-type: text/htmlnn"; $output_string=`arp -a 10.0.0.3`; ($a1,$a2,$a3,$a4,$a5,$a6,$a7,$a8,$a9,$a10,$a11,$a12)=split(" ",$output_string); print "$output_string<br>"; print "$a1,$a2,$a3,$a4,$a5,$a6,$a7,$a8,$a9,$a10,$a11,$a12<br>"; print "IP - address->$a10<br>"; print "ARP - ident->$a11<br>"; if .... ------------------------------eof------------------------------ 3. В случае её изменения прибиваем пакеты на воинствующий IP адрес, шлем письма админу и т.д .. т.п.... Прибиваем так примерно: netsh ro ip add filter name="internet" filtertype=input srcaddr=xxx.xxx.xxx.xxx srcmask=255.255.255.255 dstaddr=yyy.yyy.yyy.yyy dstmask=255.255.255.255 proto=any Ну как способ ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 17 ноября, 2002 · Жалоба Примерно так у нас один пров действует в городе. ;-) Не то чтоб сильно эффективно, но от пионеров вроде спасает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DrDiesel Опубликовано 18 ноября, 2002 · Жалоба и в который раз вопрос, а если я MAC поменяю? не сложнее, чем IP... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 18 ноября, 2002 · Жалоба и в который раз вопрос, а если я MAC поменяю? не сложнее, чем IP... От подмены MAC спасает управляемый коммутатор. И от атак ARP тоже. Как заставит винду работать со статической ARP таблицей? Ну нет у меня сейчас вохможности ставить *nix. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 19 ноября, 2002 · Жалоба В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Maxim Опубликовано 19 ноября, 2002 · Жалоба В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены. А зачем искать подмену IP! Можно трафик по МАС посчитать! У меня пока VPN не стоял, я считал трафик по МАС! Стоит 2000. А МАС, соответсвенно, поменять упр. коммутатор не даст! Но лучше всего по VPN считать! Пока ничего не наковыряли умельцы! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Slavik Опубликовано 19 ноября, 2002 · Жалоба В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены. А зачем искать подмену IP! Можно трафик по МАС посчитать! У меня пока VPN не стоял, я считал трафик по МАС! Стоит 2000. А МАС, соответсвенно, поменять упр. коммутатор не даст! Но лучше всего по VPN считать! Пока ничего не наковыряли умельцы! У тебя просто умельцев в сети нет :) Пока :)))) Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 19 ноября, 2002 · Жалоба У тебя просто умельцев в сети нет :) Пока :))))Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился? Блин, говорю же, что сеть на управляемых коммутаторах! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Slavik Опубликовано 20 ноября, 2002 · Жалоба У тебя просто умельцев в сети нет :) Пока :)))) Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился? Блин, говорю же, что сеть на управляемых коммутаторах! Извини. мое сообщение было больше адресовано Максиму. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Slavik Опубликовано 20 ноября, 2002 · Жалоба Вариант - ставить машинку с юниксом и arpwatch на ней.Самая слабая потянет. Естественно, с серваком свичем они не должны быть разделены. Ну или перенаправлением трафика, раз уж свичи управляемые, если умеют. В общем, весь трафик, попадаемый на сервак, должен попадать и на эту машинку. О всех подменах скажет по почте. Если менять "грамотно", то не скажет. Менять надо одновременно три параметра - mac, имя станции, ip. И тогда никакой arpwatch ничего не заметит. Кстати, если ставить фрю, то можно вести таблицу ARP на внутреннем интерфейсе ручками, тогда никакой arpwatch не нужен. Решение только одно, управляемый комутатор и опереционка поддерживающая статические привязки mac <-> ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Maxim Опубликовано 21 ноября, 2002 · Жалоба У тебя просто умельцев в сети нет :) Пока :))))Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился? А я отвечаю на вопрос! А ты ходишь вокруг моих ящиков, и знать не можешь, что там стоит! А подмена мне по барабану, у меня VPN поднят! А у тебя самого то инет какой, или диалап решил раздать? И какое дело тебе в какой подсети у меня почта? У тебя все равно зверьков.нет, а у меня есть! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Slavik Опубликовано 22 ноября, 2002 · Жалоба У тебя просто умельцев в сети нет :) Пока :)))) Кстати, а зачем ты считал что-то там по mac, если у тебя везде хабы стоят (поменять mac - раз плюнуть)? Почту-то хоть считать научился? Или вынес почтовик в другую подсеть и успокоился? А я отвечаю на вопрос! А ты ходишь вокруг моих ящиков, и знать не можешь, что там стоит! А подмена мне по барабану, у меня VPN поднят! А у тебя самого то инет какой, или диалап решил раздать? И какое дело тебе в какой подсети у меня почта? У тебя все равно зверьков.нет, а у меня есть! Что я могу сказать... Сорри, что так грубо отреагировал на твое письмо... На мой вгляд, ты затронул тему с которой у тебя у самого все _очень_ плохо. А про VPN, я так и не понял, почему ты сразу с этого не начал? Кстати, нета у меня вообще НЕТ :))) Я тебе уже говорил - мы не конкуренты... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Maxim Опубликовано 22 ноября, 2002 · Жалоба Что я могу сказать... Сорри, что так грубо отреагировал на твое письмо... На мой вгляд, ты затронул тему с которой у тебя у самого все _очень_ плохо. А про VPN, я так и не понял, почему ты сразу с этого не начал? Кстати, нета у меня вообще НЕТ :))) Я тебе уже говорил - мы не конкуренты... Значит ты плохо осведомлен! У меня СРАЗУ VPN поднят был! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rebel Опубликовано 22 ноября, 2002 · Жалоба Боже боже!:) какой геморой .... да еще и на виндовс:)).. какой мак/ип?? мак/ип - изначально ущербная весчь. ВЧС - тоже решение, но только временное. Должен быть ТОЛЬКО логин/пароль и ТОЛЬКО через SSL. :) ALWAYS - и никаких проблем:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Slavik Опубликовано 23 ноября, 2002 · Жалоба Что я могу сказать... Сорри, что так грубо отреагировал на твое письмо... На мой вгляд, ты затронул тему с которой у тебя у самого все _очень_ плохо. А про VPN, я так и не понял, почему ты сразу с этого не начал? Кстати, нета у меня вообще НЕТ :))) Я тебе уже говорил - мы не конкуренты... Значит ты плохо осведомлен! У меня СРАЗУ VPN поднят был! Да я и не осведомлялся, ты же сам сказал, что раньше считал по макам, а теперь у тебя VPN... Не отвечай на это сообщение - давай закончим этот бесполезный разговор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vetal Опубликовано 23 ноября, 2002 · Жалоба Да разговор на самом деле бесполезный. Установка ВПН решает все проблемы по взлому и воровству трафика. У меня три сети в разных районах города связаны через одного прова, поднял ВПН и все проблемы отпали. ЗЫ. Для особо бедных можно отключать шифрацию всего трафика, а оставить только криптованый пароль, это поможет на машине типа Cyrix 200/128Мб работать около 30-40 пользователям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
piroJOKE Опубликовано 20 декабря, 2002 · Жалоба Должен быть ТОЛЬКО логин/пароль и ТОЛЬКО через SSL. :) А можно подробней, как это реализовано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stb Опубликовано 15 августа, 2003 · Жалоба В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены. что такое "неизменное" -- это то, изменения чего мы не замечаем! :) sarp.bat arp -s x.x.x.x xx-xx-xx-xx-xx-xx sleep 2 sarp.bat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 15 августа, 2003 · Жалоба В Микрософтовской поддержке ответили - никак. Все, перехожу на FreeBSD. А ведь за NT деньги плачены. что такое "неизменное" -- это то, изменения чего мы не замечаем! :) sarp.bat arp -s x.x.x.x xx-xx-xx-xx-xx-xx sleep 2 sarp.bat DrZlo - это был я, просто логин потерял. Проблема была давно решена заменой NT на FreeBSD. Статический ARP на фре + привязка MAC на коммутаторах + DHCP со статическими записями - чужой трафик можно использовать, только подключившись к чужому проводу, установив чужой MAC и IP. За такое сразу по шее и вон из сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saalan Опубликовано 15 августа, 2003 · Жалоба От подмены MAC спасает управляемый коммутатор. И от атак ARP тоже. Как заставит винду работать со статической ARP таблицей? Ну нет у меня сейчас вохможности ставить *nix. Привет, хотя я живу и под *nix и пользую серьезную прогу, которая и за маками следит и за IP и о попытках сниферить или менять IP или MAC. Но это все не для таррификации Интернета, а для стабильной работы сети, чтобы умники не пытались испортить жизнь соседу отравляя ARP cashe или пользуя снифера. Единственным 99.999% способом считаю управляемые коммутаторы, пусть не везде хотябы разделить сеть на несколько подсетей, чтобы проще было. А посему вопрос, какие управляемые коммутаторы вы применяете? Как со статистикой зависания? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ASM Опубликовано 15 августа, 2003 · Жалоба С подделкой MAC боремся так - на портах управляемых коммутаторов прописываем MAC для каждого порта. Чужой MAC уже не подставишь. А что делать с IP? Как на сервере Windows NT сделать статическую ARP-таблицу? Не умеет windows работать со стат. ARP таблицами. Прописываем статический адрес, а при первом же ответе ARP windows меняет запись в таблице. Кто сталкивался с проблемой? Как решить ее? Не предлагайте переход на *nix. В настоящее время нет возможности. Если нет необходимости в шифрации трафика от клиента до роутера, то оптимальнее всего поставить HotSpot сервер-роутер. Роутер обеспечит привязку IP <=> MAC, а HotSpot - проверку юзера по логину и паролю (шифруется броузером по MD5). Кроме того, получите удобную возможность выставлять клиенту RX/TX скорость, ограничение на трафик и время работы в Инете. Спецификация: http://www.mt.lv/Documentation/manual_2.7/...IP/Hotspot.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey_osv Опубликовано 19 августа, 2003 · Жалоба Вообще есть интересные решения защиты от подстановки IP на базе VPN я тут читал на сайте www.vpn-connect.ru IP дается по паролю как в модеме и хрен че подставишь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shs Опубликовано 22 августа, 2003 · Жалоба Вообще есть интересные решения защиты от подстановки IPна базе VPN я тут читал на сайте www.vpn-connect.ru IP дается по паролю как в модеме и хрен че подставишь За такие деньги ??? Особенно учитывая что ничего нового я там не увидел. Всё решается уже имеющимися пакетами, и наличием у человека мозгов. А вот еще прикольнее: Со стороны сервера модуль POPTOP ?слушает? входящие соединения и, получив пакет с запросом на соединение, передает имя и пароль пользователя модулю авторизации. Модуль авторизации вызывает функцию авторизации. Если авторизация неуспешна, то модулю POPTOP приходит отрицательный ответ и соединение не устанавливается. Если ответ положителен то POPTOP устанавливает PPTP соединение с компьютером пользователя.(Создает со своей стороны виртуальный VPN адаптер) Интерестно какое отношение имеет poptop к авторизации клиента ??? Короче - не стоит оно тех денег, что за него просят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...