[lamer-vsnot]

Бодрый день дорогие сетевики!

Хочу спросить совета по следующему вопросу .

У нас с недавнего времени возникла проблемка : Mac адрес на шлюзе изменяется на какой либо клиентский , в результате чего бывает пропадание интернета:(

Как гриться по гуглив , почитав хорошенько про arp-spoofing и прочую вирусную активносность , я так и не нашел точного метода защиты для сети где очень мало умного железа. Где нет конкретной привязки к порту ip/mac.

Ну вроде как от подмены на шлюзе МАС адреса , можно внести статистическую запись в ARP таблицу ( server 2003) c параметров -s чтобы не было смены

mac адреса от подложного запроса со стороны сниферов .

Но теперь возникла другая проблемка MAC адреса шлюза , прописывается у клиента ( в результате вирусной активности , их сканирования сети и подсетей ) и очистка ARP кэша не всегда помогает .

 

Я канешно понимаю , что антивирусы штука все таки хорошая , но клиенты почему то не всегда ставят :) И в результате чего по сети носиться довольно таки не приятный ( хотя еще не большой) ARP флуд -по сведениям снифира iris .

 

Сейчас у нас стоит под билингом traffic inspector + блокировка пользователей L2NG , авторизация по ip/mac ( знаем что не очень) версия ОС озвучина выше.

 

 

Вопрос: 1.какие есть методы защиты от подмены mac адреса . Лучше софтовые т.к. на управляемый коммуторы L2 уровня ток "наскребли" и то на районы , и нет возможности поставить на каждый дом с защитой на порту по ip/mac или vlan на юзверя

 

2. Резать как нить сеть на сегменты , что бы широковещательного трафика ходила меньше? (народу вроде еще мало 400~)

3.Авторизация по VPN средствами винды тем же RRAS ? будет ли лучше в смысле стабильности а не безопастности:)

4.Поставить какой либо файрволл перед билингом ( тот же ipfw ) и на нем делать какую либо авторизацию?

 

ЗЫ: не ругайте , все познается со временем.

 

 

 

[Кашмир]

при минимальной трате денег только такая схема:

в центр звезды управляемый свитчь, в остальных домах какие хочешь.

На центральном этом свитче каждый дом в свой вилан

Затем DHCP на каждый вилан по подсети собираешь писюком с FreeBSD

VPN на инет и сеть.

НЕ оплатил юзверь - не смог подрубиться к VPN, а не смог к нему подрубиться - нету и сети и инета :) Такая вот управляемая сеть.

И менять ниче не нужно ему, не поможет :)

Изменено 21 июня, 2008 пользователем Кашмир

[lamer-vsnot]

Собственно такую схему мы и делаем:)

Я просто искал более прозрачное решение (временное) . Оптику ждем:)

 

Спс за ответ)

[Кашмир]

Не городите ничего временного, делайте как можно раньше по человечески.

иначе проблема одна за другой погубят вашу сеть :)

[hmd]

Кашмир а зачем городить vlan если vpn неплохо справляется с поменой маков

[mschedrin]

Я что-то не очень понял, как vpn помогает бороться с arp spoofing? Мне кажется он ничем не спасает. Опыт есть :)

[lamer-vsnot]

Ну дык , какие есть у кого варианты?)

[Кашмир]

FreeBSD + PF = antispoof quick for $lan_if inet ?

[mschedrin]

lamer-vsnot, вроде есть еще ip-guard. Он на эти цели рассчитан, если я ничего не путаю.

[windows_NT]

Угу

как раз в соседней теме есть на него ссылка заодно и протестируете новую версию