пользователи меняют IP ареса как бороться?

staford83 · August 14, 2010

Есть сеть состоит из 100 пользователей, подключенных через свитчи. Есть сервер с инфой куда народ цепляется,. некоторых одаренных приходиться отключать из сети по IP kerio WF. Эти сво-чи берут чужие ip и входят на сервер. Как отрубить человека по MAC адресу из сети вообще, чтобы кроме себя, больше не кого пингануть даже не смог?

nuclearcat · August 14, 2010

Используя управляемые свитчи.

Остальное - полумеры, которые можно обойти.

terrible · August 14, 2010

Используя управляемые свитчи.

особенно в которых есть функционал IP Source Guard или IP-MAC-Binding

Каждого пользователя очень желательно подключить в отдельный порт такого свича

staford83 · August 14, 2010

Используя управляемые свитчи.
Остальное - полумеры, которые можно обойти.

А есть вариант програмный??? Типа UserGate ?

Abram · August 15, 2010

Используя управляемые свитчи.
Остальное - полумеры, которые можно обойти.

А есть вариант програмный??? Типа UserGate ?

Аппаратно, как написано выше. Остальное - дрочь вприсядку.

Станете привязывать MAC+IP - станут вместе с IP менять и MAC.

Ilya Evseev · August 15, 2010

Port Security на коммутаторах, чтобы клиенты не могли менять MAC-адрес.

ARP Monitor на сервере, чтобы видеть смену IP-адреса.

Static ARP на сервере.

Giga-Byte · August 15, 2010

для *nix есть ~~arpwatch~~ ip-sentinel

года четыре назад видел в действии, просто тупо не давала работать машине в сети,

много времени утекло, может ещё чего дописали...

Edited August 15, 2010 by Giga-Byte

martin74 · August 15, 2010

не arpwatch, который просто следит за arp таблицей машины, а ip-sentinel. Который и умеет блокировать левых клиентов.

Но все равно, лучше чем управляемый порт на абонента - ничего не придумать...

disappointed · August 15, 2010

А может дешевле заменить все свитчи на дешёвые с изоляцией портов, а клиентов терминировать по PPPoE?

Cosmonaut · August 15, 2010

disappointed

У нас так работает нехилый оператор размера города - Иркнет. Дешево и сердито.

disappointed · August 15, 2010

Ага, 100 клиентов на дохлом писюке можно протерминировать.

Ivan_83 · August 17, 2010

Есть сервер с инфой куда народ цепляется,. некоторых одаренных приходиться отключать из сети по IP kerio WF. Эти сво-чи берут чужие ip и входят на сервер.

Ваш только сервер с непонятно чем или вся сеть?

Как отрубить человека по MAC адресу из сети вообще, чтобы кроме себя, больше не кого пингануть даже не смог?

Порезать провод и замкнуть, чтобы был линк.

staford83 · August 20, 2010

Ваш только сервер с непонятно чем или вся сеть?

мене нужно отрубить его из сети не физически а програмно!!

Порезать провод и замкнуть, чтобы был линк.

S_E_V · August 20, 2010

мене нужно отрубить его из сети не физически а програмно!!

порезать провод, поставить управляемое железо, варианты закончились.

staford83 · August 20, 2010

мене нужно отрубить его из сети не физически а програмно!!
порезать провод, поставить управляемое железо, варианты закончились.

Вот вариант http://l2nt.info/ только автора найти не могу

Tygra · August 20, 2010

ip-sentinel в конфигурации "всех оставить кроме любого ip с мак адресом таким то " , но винда в попытке "подобрать" не занятый айпи адрес вам и всем абонентам , чей айпи попытается занять атакуемая винда , мозг высушит . Зачем отключать его програмно , если вы хотите ограничить его во всем , отключите от сети и все , зачем такие полумеры ?

staford83 · August 21, 2010

ip-sentinel в конфигурации "всех оставить кроме любого ip с мак адресом таким то " , но винда в попытке "подобрать" не занятый айпи адрес вам и всем абонентам , чей айпи попытается занять атакуемая винда , мозг высушит . Зачем отключать его програмно , если вы хотите ограничить его во всем , отключите от сети и все , зачем такие полумеры ?

Я администрирую сеть из другого города удаленно и ездить за 150 км отключать и включать его в сеть нет возможности и времени!!

m0xf · August 21, 2010

Ставить управляемый коммутатор. Точка.

staford83 · August 21, 2010

Ставить управляемый коммутатор. Точка.

Посоветуй не дорогой и хороший управляемый коммутатор минимум 16 портов!!!

sherwood · August 21, 2010

PS2216

этого достаточно, чтобы заблокировать хождение трафика между портами (клиентами)

и удаленно отключить порт юному хакеру или за не уплату...

если что то еще нужно, то тогда наверное на доступ более дорогое решение DES3526...

terrible · August 21, 2010

более дорогое решение DES3526

http://forum.nag.ru/forum/index.php?showtopic=59631

http://forum.nag.ru/forum/index.php?showtopic=59511

http://b-u-switch.ru/ishop/product/395

не сказал бы, что это дорого

nic_stav · August 21, 2010

1228 еще доступнее вроде бы

sherwood · August 21, 2010

не сказал бы, что это дорого

все в мире относительно, относительно PS2216 дорого, а относительно поставить на дом

где 24 клиента - нет.... :)

как то так....

mit · August 21, 2010

staford83

Ваш вариант только поднимать сервер доступа(NAS) на линухе или фре, и авторизовывать всех по PPPoE.

Все остальное потом! Почему не надо менять свичи доступа на сети из 100клиентов , сами поймете, когда посчитаете во что это обойдется!

Вот когда заработаете много денег тогда и стройте идеальную сеть, а пока вместо революции используйте эволюцию, решайте проблемы по мере их поступления. ваша первая задача всех посадить на PPPoE, а дальше модернизируйте постепенно доступ, чтобы клиенты не могли обходить PPPoE-сервер.

Edited August 21, 2010 by mit

Ilya Evseev · August 21, 2010

pppoe-сервер - не панацея.

Например, если злоумышленник соберёт MAC-адреса других клиентов

и поднимет ещё один pppoe-сервер для этих MAC-адресов,

он узнает все логины-пароли, а провайдер этого даже не заподозрит.

Sign In

пользователи меняют IP ареса как бороться?

Recommended Posts

staford83

nuclearcat

terrible

staford83

Abram

Ilya Evseev

Giga-Byte

martin74

disappointed

Cosmonaut

disappointed

Ivan_83

staford83

S_E_V

staford83

Tygra

staford83

m0xf

staford83

sherwood

terrible

nic_stav

sherwood

mit

Ilya Evseev

Join the conversation