Перейти к содержимому
Калькуляторы

пользователи меняют IP ареса как бороться?

Есть сеть состоит из 100 пользователей, подключенных через свитчи. Есть сервер с инфой куда народ цепляется,. некоторых одаренных приходиться отключать из сети по IP kerio WF. Эти сво-чи берут чужие ip и входят на сервер. Как отрубить человека по MAC адресу из сети вообще, чтобы кроме себя, больше не кого пингануть даже не смог?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используя управляемые свитчи.

Остальное - полумеры, которые можно обойти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используя управляемые свитчи.
особенно в которых есть функционал IP Source Guard или IP-MAC-Binding

Каждого пользователя очень желательно подключить в отдельный порт такого свича

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используя управляемые свитчи.

Остальное - полумеры, которые можно обойти.

А есть вариант програмный??? Типа UserGate ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используя управляемые свитчи.

Остальное - полумеры, которые можно обойти.

А есть вариант програмный??? Типа UserGate ?

Аппаратно, как написано выше. Остальное - дрочь вприсядку.

Станете привязывать MAC+IP - станут вместе с IP менять и MAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Port Security на коммутаторах, чтобы клиенты не могли менять MAC-адрес.

ARP Monitor на сервере, чтобы видеть смену IP-адреса.

Static ARP на сервере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для *nix есть arpwatch ip-sentinel

 

года четыре назад видел в действии, просто тупо не давала работать машине в сети,

много времени утекло, может ещё чего дописали...

Изменено пользователем Giga-Byte

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не arpwatch, который просто следит за arp таблицей машины, а ip-sentinel. Который и умеет блокировать левых клиентов.

Но все равно, лучше чем управляемый порт на абонента - ничего не придумать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А может дешевле заменить все свитчи на дешёвые с изоляцией портов, а клиентов терминировать по PPPoE?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

disappointed

У нас так работает нехилый оператор размера города - Иркнет. Дешево и сердито.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага, 100 клиентов на дохлом писюке можно протерминировать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть сервер с инфой куда народ цепляется,. некоторых одаренных приходиться отключать из сети по IP kerio WF. Эти сво-чи берут чужие ip и входят на сервер.
Ваш только сервер с непонятно чем или вся сеть?

 

 

Как отрубить человека по MAC адресу из сети вообще, чтобы кроме себя, больше не кого пингануть даже не смог?
Порезать провод и замкнуть, чтобы был линк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ваш только сервер с непонятно чем или вся сеть?

 

мене нужно отрубить его из сети не физически а програмно!!

 

Порезать провод и замкнуть, чтобы был линк.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мене нужно отрубить его из сети не физически а програмно!!

порезать провод, поставить управляемое железо, варианты закончились.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мене нужно отрубить его из сети не физически а програмно!!
порезать провод, поставить управляемое железо, варианты закончились.

Вот вариант http://l2nt.info/ только автора найти не могу

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip-sentinel в конфигурации "всех оставить кроме любого ip с мак адресом таким то " , но винда в попытке "подобрать" не занятый айпи адрес вам и всем абонентам , чей айпи попытается занять атакуемая винда , мозг высушит . Зачем отключать его програмно , если вы хотите ограничить его во всем , отключите от сети и все , зачем такие полумеры ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip-sentinel в конфигурации "всех оставить кроме любого ip с мак адресом таким то " , но винда в попытке "подобрать" не занятый айпи адрес вам и всем абонентам , чей айпи попытается занять атакуемая винда , мозг высушит . Зачем отключать его програмно , если вы хотите ограничить его во всем , отключите от сети и все , зачем такие полумеры ?

Я администрирую сеть из другого города удаленно и ездить за 150 км отключать и включать его в сеть нет возможности и времени!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ставить управляемый коммутатор. Точка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ставить управляемый коммутатор. Точка.

Посоветуй не дорогой и хороший управляемый коммутатор минимум 16 портов!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PS2216

этого достаточно, чтобы заблокировать хождение трафика между портами (клиентами)

и удаленно отключить порт юному хакеру или за не уплату...

если что то еще нужно, то тогда наверное на доступ более дорогое решение DES3526...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

более дорогое решение DES3526
http://forum.nag.ru/forum/index.php?showtopic=59631

http://forum.nag.ru/forum/index.php?showtopic=59511

http://b-u-switch.ru/ishop/product/395

 

не сказал бы, что это дорого

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не сказал бы, что это дорого
все в мире относительно, относительно PS2216 дорого, а относительно поставить на дом

где 24 клиента - нет.... :)

как то так....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

staford83

Ваш вариант только поднимать сервер доступа(NAS) на линухе или фре, и авторизовывать всех по PPPoE.

Все остальное потом! Почему не надо менять свичи доступа на сети из 100клиентов , сами поймете, когда посчитаете во что это обойдется!

Вот когда заработаете много денег тогда и стройте идеальную сеть, а пока вместо революции используйте эволюцию, решайте проблемы по мере их поступления. ваша первая задача всех посадить на PPPoE, а дальше модернизируйте постепенно доступ, чтобы клиенты не могли обходить PPPoE-сервер.

Изменено пользователем mit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pppoe-сервер - не панацея.

Например, если злоумышленник соберёт MAC-адреса других клиентов

и поднимет ещё один pppoe-сервер для этих MAC-адресов,

он узнает все логины-пароли, а провайдер этого даже не заподозрит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.