Tema Опубликовано 30 мая, 2008 · Жалоба Есть сеть, ip адреса раздаются статические, недавно обнаужил в сети чужой dhcp сервер, естественно нашли его и отключили от сети физически. Сеть построена на простых свитчах, есть немного свитчей 2- го уровня на местах выхода в район, пока баним маки там, но в своем районе чужие сервера прекрасно действуют и раздают адреса непонятно кому и зачем. Интересует как запретить использование левых ip в сети, ставить везде управляемые коммутаторы сильно накладно. Пока смотю в такую сторону: Поставить в каждом районе компьютер и прописать на нем в arp таблицу на левые ip левые mac адреса например для 192.168.100.1 - 00-00-00-00-00-00 И, как я думаю, но не уверен, если в этом районе кто- то пропишет себе левый ip из тех, для которых прописан левый mac, то в ответ на его широковещательный запрос, ему прийдет ответ что ip адрес уже занят. Связка ip+mac проверяется на сервере, интересует как запретить создание левой сети в моей сети. Единственное как заставить этот комп отвечать на эти запросы, поставить его как шлюз, будет ли работать, и то не самый хороший вариант. В общем решения толкового, пока, нет, может кто сталкиваля с такой задачей или знает пути решения, буду очень благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 30 мая, 2008 · Жалоба http://l2nt.info/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Profi the same Опубликовано 30 мая, 2008 · Жалоба у злоумышленника сыпется в логи - что его ип занят таким-то маком. Злоумышленник меняет свой мак на прописанный Вами на серваке - и работает дальше. Менять маки по крону каждые 5 минут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tema Опубликовано 30 мая, 2008 · Жалоба dIMbI4 Это проверенная программа или по поиску в гугле? Я когда задался этим вопосом тоже на нее наткнулся, только не понял как все- таки она работает, что- то нет доверия. Profi the same То что построил один человек, всегда сломает другой. Вопросов нет, если кто захочет- сломает, нужна защита хотя бы от дурака. А ради таких злоумышленников не лень и самому с буком побегать по сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 31 мая, 2008 · Жалоба Tema эта прога проверенная и существовала втечение 2х лет на неуправляемой сети. у меня работала в связке с dhcp. Есть база мак+ип всех абонентов. если есть несответствие - то банит. т.е ктото подменяет ипы. левые dhcp он тоже убивает.заодно смотрит в биллинге задолженность и "отрубает" абонента. минусы - будет проблема с теми кто меняет ип+мак сразу при отключенной сети. у меня решалось разделением сети L2 свичами на сегменты по 10-20 машин. с фильтрами по маку от квартала. т.е вероятность что подмениш ип из своего района минимальна. сеть доросла до 500 абонентов. дальше появились деньги. за все время было 2 или 3 подменщика. L2nt продается вместе с сетевушкой или четко привязана к ее маку- непомню точно. саппорт очень хороший и бесплатный.а 500р для сети - вобще не деньги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tema Опубликовано 31 мая, 2008 (изменено) · Жалоба dIMbI4 программа должна стоять на шлюзе или в любом месте сети? Спасибо огромное, обязательно попробую. Изменено 31 мая, 2008 пользователем Tema Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alteron Опубликовано 31 мая, 2008 · Жалоба Программа рабочая, сами используем её в сети. Также периодически пью пиво с её разработчиком на дне сисадмина ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 31 мая, 2008 · Жалоба машина просто подключается в сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 3 июня, 2008 · Жалоба Как дети. Используете в сети с чем то неуправляемым какие либо тулзы... Берем на шлюзе с линухом поднимаем мост, компилим в ядро фильтр моста (ebtables), включаем внутренний интерфейс в этот мост. На нем в цепочке нат начинаем проверять arp пакеты. 1) если видим "самоутвердающий пакет" то отсылаем его в другую цепочку, где уже по одному сверяем пары мак-ип клиента. если пришедшей пары не видим, отвечаем левым маком что ип уже занят. Через 5 мин у dhcp закончитсяыбор адресов. Этот пакет должен рассылатся всеми компами перед присвоением адреса. 2) если видим arp запрос с любого ип, которого не может быть в сегменте - отвечаем левым маком. Не даст создавать свои подсети. При это это событие можно и в syslog послать 3) если видим чей либо случайный ответ на ип роутера - сразу в лог и идем банить человека. А вообще можно на любой запрос (кроме 1 пункта) отвечать маком роутера - и большинство трафика внутри польется через роутер - можно многое проконтролировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 4 июня, 2008 · Жалоба собсна говоря это не тулза- а програмно апаратное решение . работает кстати почти по твоей схеме и под масдаем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...