lamer-vsnot Опубликовано 21 июня, 2008 · Жалоба Бодрый день дорогие сетевики! Хочу спросить совета по следующему вопросу . У нас с недавнего времени возникла проблемка : Mac адрес на шлюзе изменяется на какой либо клиентский , в результате чего бывает пропадание интернета:( Как гриться по гуглив , почитав хорошенько про arp-spoofing и прочую вирусную активносность , я так и не нашел точного метода защиты для сети где очень мало умного железа. Где нет конкретной привязки к порту ip/mac. Ну вроде как от подмены на шлюзе МАС адреса , можно внести статистическую запись в ARP таблицу ( server 2003) c параметров -s чтобы не было смены mac адреса от подложного запроса со стороны сниферов . Но теперь возникла другая проблемка MAC адреса шлюза , прописывается у клиента ( в результате вирусной активности , их сканирования сети и подсетей ) и очистка ARP кэша не всегда помогает . Я канешно понимаю , что антивирусы штука все таки хорошая , но клиенты почему то не всегда ставят :) И в результате чего по сети носиться довольно таки не приятный ( хотя еще не большой) ARP флуд -по сведениям снифира iris . Сейчас у нас стоит под билингом traffic inspector + блокировка пользователей L2NG , авторизация по ip/mac ( знаем что не очень) версия ОС озвучина выше. Вопрос: 1.какие есть методы защиты от подмены mac адреса . Лучше софтовые т.к. на управляемый коммуторы L2 уровня ток "наскребли" и то на районы , и нет возможности поставить на каждый дом с защитой на порту по ip/mac или vlan на юзверя 2. Резать как нить сеть на сегменты , что бы широковещательного трафика ходила меньше? (народу вроде еще мало 400~) 3.Авторизация по VPN средствами винды тем же RRAS ? будет ли лучше в смысле стабильности а не безопастности:) 4.Поставить какой либо файрволл перед билингом ( тот же ipfw ) и на нем делать какую либо авторизацию? ЗЫ: не ругайте , все познается со временем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Кашмир Опубликовано 21 июня, 2008 (изменено) · Жалоба при минимальной трате денег только такая схема: в центр звезды управляемый свитчь, в остальных домах какие хочешь. На центральном этом свитче каждый дом в свой вилан Затем DHCP на каждый вилан по подсети собираешь писюком с FreeBSD VPN на инет и сеть. НЕ оплатил юзверь - не смог подрубиться к VPN, а не смог к нему подрубиться - нету и сети и инета :) Такая вот управляемая сеть. И менять ниче не нужно ему, не поможет :) Изменено 21 июня, 2008 пользователем Кашмир Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lamer-vsnot Опубликовано 21 июня, 2008 · Жалоба Собственно такую схему мы и делаем:) Я просто искал более прозрачное решение (временное) . Оптику ждем:) Спс за ответ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Кашмир Опубликовано 21 июня, 2008 · Жалоба Не городите ничего временного, делайте как можно раньше по человечески. иначе проблема одна за другой погубят вашу сеть :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hmd Опубликовано 21 июня, 2008 · Жалоба Кашмир а зачем городить vlan если vpn неплохо справляется с поменой маков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 22 июня, 2008 · Жалоба Я что-то не очень понял, как vpn помогает бороться с arp spoofing? Мне кажется он ничем не спасает. Опыт есть :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lamer-vsnot Опубликовано 22 июня, 2008 · Жалоба Ну дык , какие есть у кого варианты?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Кашмир Опубликовано 22 июня, 2008 · Жалоба FreeBSD + PF = antispoof quick for $lan_if inet ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 23 июня, 2008 · Жалоба lamer-vsnot, вроде есть еще ip-guard. Он на эти цели рассчитан, если я ничего не путаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
windows_NT Опубликовано 23 июня, 2008 · Жалоба Угу как раз в соседней теме есть на него ссылка заодно и протестируете новую версию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...