lamer-vsnot Опубликовано 21 июня, 2008 Бодрый день дорогие сетевики! Хочу спросить совета по следующему вопросу . У нас с недавнего времени возникла проблемка : Mac адрес на шлюзе изменяется на какой либо клиентский , в результате чего бывает пропадание интернета:( Как гриться по гуглив , почитав хорошенько про arp-spoofing и прочую вирусную активносность , я так и не нашел точного метода защиты для сети где очень мало умного железа. Где нет конкретной привязки к порту ip/mac. Ну вроде как от подмены на шлюзе МАС адреса , можно внести статистическую запись в ARP таблицу ( server 2003) c параметров -s чтобы не было смены mac адреса от подложного запроса со стороны сниферов . Но теперь возникла другая проблемка MAC адреса шлюза , прописывается у клиента ( в результате вирусной активности , их сканирования сети и подсетей ) и очистка ARP кэша не всегда помогает . Я канешно понимаю , что антивирусы штука все таки хорошая , но клиенты почему то не всегда ставят :) И в результате чего по сети носиться довольно таки не приятный ( хотя еще не большой) ARP флуд -по сведениям снифира iris . Сейчас у нас стоит под билингом traffic inspector + блокировка пользователей L2NG , авторизация по ip/mac ( знаем что не очень) версия ОС озвучина выше. Вопрос: 1.какие есть методы защиты от подмены mac адреса . Лучше софтовые т.к. на управляемый коммуторы L2 уровня ток "наскребли" и то на районы , и нет возможности поставить на каждый дом с защитой на порту по ip/mac или vlan на юзверя 2. Резать как нить сеть на сегменты , что бы широковещательного трафика ходила меньше? (народу вроде еще мало 400~) 3.Авторизация по VPN средствами винды тем же RRAS ? будет ли лучше в смысле стабильности а не безопастности:) 4.Поставить какой либо файрволл перед билингом ( тот же ipfw ) и на нем делать какую либо авторизацию? ЗЫ: не ругайте , все познается со временем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Кашмир Опубликовано 21 июня, 2008 (изменено) при минимальной трате денег только такая схема: в центр звезды управляемый свитчь, в остальных домах какие хочешь. На центральном этом свитче каждый дом в свой вилан Затем DHCP на каждый вилан по подсети собираешь писюком с FreeBSD VPN на инет и сеть. НЕ оплатил юзверь - не смог подрубиться к VPN, а не смог к нему подрубиться - нету и сети и инета :) Такая вот управляемая сеть. И менять ниче не нужно ему, не поможет :) Изменено 21 июня, 2008 пользователем Кашмир Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lamer-vsnot Опубликовано 21 июня, 2008 Собственно такую схему мы и делаем:) Я просто искал более прозрачное решение (временное) . Оптику ждем:) Спс за ответ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Кашмир Опубликовано 21 июня, 2008 Не городите ничего временного, делайте как можно раньше по человечески. иначе проблема одна за другой погубят вашу сеть :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hmd Опубликовано 21 июня, 2008 Кашмир а зачем городить vlan если vpn неплохо справляется с поменой маков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 22 июня, 2008 Я что-то не очень понял, как vpn помогает бороться с arp spoofing? Мне кажется он ничем не спасает. Опыт есть :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lamer-vsnot Опубликовано 22 июня, 2008 Ну дык , какие есть у кого варианты?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Кашмир Опубликовано 22 июня, 2008 FreeBSD + PF = antispoof quick for $lan_if inet ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 23 июня, 2008 lamer-vsnot, вроде есть еще ip-guard. Он на эти цели рассчитан, если я ничего не путаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
windows_NT Опубликовано 23 июня, 2008 Угу как раз в соседней теме есть на него ссылка заодно и протестируете новую версию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...