[Tema]

Есть сеть, ip адреса раздаются статические, недавно обнаужил в сети чужой dhcp сервер, естественно нашли его и отключили от сети физически. Сеть построена на простых свитчах, есть немного свитчей 2- го уровня на местах выхода в район, пока баним маки там, но в своем районе чужие сервера прекрасно действуют и раздают адреса непонятно кому и зачем. Интересует как запретить использование левых ip в сети, ставить везде управляемые коммутаторы сильно накладно.

Пока смотю в такую сторону:

Поставить в каждом районе компьютер и прописать на нем в arp таблицу на левые ip левые mac адреса например для 192.168.100.1 - 00-00-00-00-00-00

И, как я думаю, но не уверен, если в этом районе кто- то пропишет себе левый ip из тех, для которых прописан левый mac, то в ответ на его широковещательный запрос, ему прийдет ответ что ip адрес уже занят.

Связка ip+mac проверяется на сервере, интересует как запретить создание левой сети в моей сети.

Единственное как заставить этот комп отвечать на эти запросы, поставить его как шлюз, будет ли работать, и то не самый хороший вариант.

В общем решения толкового, пока, нет, может кто сталкиваля с такой задачей или знает пути решения, буду очень благодарен.

[dIMbI4]

http://l2nt.info/

[Profi the same]

у злоумышленника сыпется в логи - что его ип занят таким-то маком. Злоумышленник меняет свой мак на прописанный Вами на серваке - и работает дальше. Менять маки по крону каждые 5 минут?

[Tema]

dIMbI4

Это проверенная программа или по поиску в гугле?

Я когда задался этим вопосом тоже на нее наткнулся, только не понял как все- таки она работает, что- то нет доверия.

Profi the same

То что построил один человек, всегда сломает другой.

Вопросов нет, если кто захочет- сломает, нужна защита хотя бы от дурака.

А ради таких злоумышленников не лень и самому с буком побегать по сети.

[dIMbI4]

Tema эта прога проверенная и существовала втечение 2х лет на неуправляемой сети. у меня работала в связке с dhcp. Есть база мак+ип всех абонентов. если есть несответствие - то банит. т.е ктото подменяет ипы. левые dhcp он тоже убивает.заодно смотрит в биллинге задолженность и "отрубает" абонента. минусы - будет проблема с теми кто меняет ип+мак сразу при отключенной сети. у меня решалось разделением сети L2 свичами на сегменты по 10-20 машин. с фильтрами по маку от квартала. т.е вероятность что подмениш ип из своего района минимальна. сеть доросла до 500 абонентов. дальше появились деньги. за все время было 2 или 3 подменщика. L2nt продается вместе с сетевушкой или четко привязана к ее маку- непомню точно. саппорт очень хороший и бесплатный.а 500р для сети - вобще не деньги.

[Tema]

dIMbI4

программа должна стоять на шлюзе или в любом месте сети?

Спасибо огромное, обязательно попробую.

 

Изменено 31 мая, 2008 пользователем Tema

[Alteron]

Программа рабочая, сами используем её в сети. Также периодически пью пиво с её разработчиком на дне сисадмина ;)

[dIMbI4]

машина просто подключается в сеть.

[Дегтярев Илья]

Как дети. Используете в сети с чем то неуправляемым какие либо тулзы...

Берем на шлюзе с линухом поднимаем мост, компилим в ядро фильтр моста (ebtables), включаем внутренний интерфейс в этот мост.

 

На нем в цепочке нат начинаем проверять arp пакеты.

1) если видим "самоутвердающий пакет" то отсылаем его в другую цепочку, где уже по одному сверяем пары мак-ип клиента.

если пришедшей пары не видим, отвечаем левым маком что ип уже занят. Через 5 мин у dhcp закончитсяыбор адресов.

Этот пакет должен рассылатся всеми компами перед присвоением адреса.

 

2) если видим arp запрос с любого ип, которого не может быть в сегменте - отвечаем левым маком. Не даст создавать свои подсети.

При это это событие можно и в syslog послать

 

3) если видим чей либо случайный ответ на ип роутера - сразу в лог и идем банить человека.

 

А вообще можно на любой запрос (кроме 1 пункта) отвечать маком роутера - и большинство трафика внутри польется через роутер - можно многое проконтролировать.

 

 

[dIMbI4]

собсна говоря это не тулза- а програмно апаратное решение . работает кстати почти по твоей схеме и под масдаем.