Jump to content
Калькуляторы

пользователи меняют IP ареса как бороться?

Есть сеть состоит из 100 пользователей, подключенных через свитчи. Есть сервер с инфой куда народ цепляется,. некоторых одаренных приходиться отключать из сети по IP kerio WF. Эти сво-чи берут чужие ip и входят на сервер. Как отрубить человека по MAC адресу из сети вообще, чтобы кроме себя, больше не кого пингануть даже не смог?

Share this post


Link to post
Share on other sites

Используя управляемые свитчи.

Остальное - полумеры, которые можно обойти.

Share this post


Link to post
Share on other sites
Используя управляемые свитчи.
особенно в которых есть функционал IP Source Guard или IP-MAC-Binding

Каждого пользователя очень желательно подключить в отдельный порт такого свича

Share this post


Link to post
Share on other sites
Используя управляемые свитчи.

Остальное - полумеры, которые можно обойти.

А есть вариант програмный??? Типа UserGate ?

Share this post


Link to post
Share on other sites
Используя управляемые свитчи.

Остальное - полумеры, которые можно обойти.

А есть вариант програмный??? Типа UserGate ?

Аппаратно, как написано выше. Остальное - дрочь вприсядку.

Станете привязывать MAC+IP - станут вместе с IP менять и MAC.

Share this post


Link to post
Share on other sites

Port Security на коммутаторах, чтобы клиенты не могли менять MAC-адрес.

ARP Monitor на сервере, чтобы видеть смену IP-адреса.

Static ARP на сервере.

Share this post


Link to post
Share on other sites

для *nix есть arpwatch ip-sentinel

 

года четыре назад видел в действии, просто тупо не давала работать машине в сети,

много времени утекло, может ещё чего дописали...

Edited by Giga-Byte

Share this post


Link to post
Share on other sites

не arpwatch, который просто следит за arp таблицей машины, а ip-sentinel. Который и умеет блокировать левых клиентов.

Но все равно, лучше чем управляемый порт на абонента - ничего не придумать...

Share this post


Link to post
Share on other sites

А может дешевле заменить все свитчи на дешёвые с изоляцией портов, а клиентов терминировать по PPPoE?

Share this post


Link to post
Share on other sites

disappointed

У нас так работает нехилый оператор размера города - Иркнет. Дешево и сердито.

Share this post


Link to post
Share on other sites
Есть сервер с инфой куда народ цепляется,. некоторых одаренных приходиться отключать из сети по IP kerio WF. Эти сво-чи берут чужие ip и входят на сервер.
Ваш только сервер с непонятно чем или вся сеть?

 

 

Как отрубить человека по MAC адресу из сети вообще, чтобы кроме себя, больше не кого пингануть даже не смог?
Порезать провод и замкнуть, чтобы был линк.

Share this post


Link to post
Share on other sites

Ваш только сервер с непонятно чем или вся сеть?

 

мене нужно отрубить его из сети не физически а програмно!!

 

Порезать провод и замкнуть, чтобы был линк.

 

Share this post


Link to post
Share on other sites

мене нужно отрубить его из сети не физически а програмно!!

порезать провод, поставить управляемое железо, варианты закончились.

Share this post


Link to post
Share on other sites
мене нужно отрубить его из сети не физически а програмно!!
порезать провод, поставить управляемое железо, варианты закончились.

Вот вариант http://l2nt.info/ только автора найти не могу

Share this post


Link to post
Share on other sites

ip-sentinel в конфигурации "всех оставить кроме любого ip с мак адресом таким то " , но винда в попытке "подобрать" не занятый айпи адрес вам и всем абонентам , чей айпи попытается занять атакуемая винда , мозг высушит . Зачем отключать его програмно , если вы хотите ограничить его во всем , отключите от сети и все , зачем такие полумеры ?

Share this post


Link to post
Share on other sites

ip-sentinel в конфигурации "всех оставить кроме любого ip с мак адресом таким то " , но винда в попытке "подобрать" не занятый айпи адрес вам и всем абонентам , чей айпи попытается занять атакуемая винда , мозг высушит . Зачем отключать его програмно , если вы хотите ограничить его во всем , отключите от сети и все , зачем такие полумеры ?

Я администрирую сеть из другого города удаленно и ездить за 150 км отключать и включать его в сеть нет возможности и времени!!

Share this post


Link to post
Share on other sites

Ставить управляемый коммутатор. Точка.

Share this post


Link to post
Share on other sites

Ставить управляемый коммутатор. Точка.

Посоветуй не дорогой и хороший управляемый коммутатор минимум 16 портов!!!

Share this post


Link to post
Share on other sites

PS2216

этого достаточно, чтобы заблокировать хождение трафика между портами (клиентами)

и удаленно отключить порт юному хакеру или за не уплату...

если что то еще нужно, то тогда наверное на доступ более дорогое решение DES3526...

Share this post


Link to post
Share on other sites
не сказал бы, что это дорого
все в мире относительно, относительно PS2216 дорого, а относительно поставить на дом

где 24 клиента - нет.... :)

как то так....

Share this post


Link to post
Share on other sites

staford83

Ваш вариант только поднимать сервер доступа(NAS) на линухе или фре, и авторизовывать всех по PPPoE.

Все остальное потом! Почему не надо менять свичи доступа на сети из 100клиентов , сами поймете, когда посчитаете во что это обойдется!

Вот когда заработаете много денег тогда и стройте идеальную сеть, а пока вместо революции используйте эволюцию, решайте проблемы по мере их поступления. ваша первая задача всех посадить на PPPoE, а дальше модернизируйте постепенно доступ, чтобы клиенты не могли обходить PPPoE-сервер.

Edited by mit

Share this post


Link to post
Share on other sites

pppoe-сервер - не панацея.

Например, если злоумышленник соберёт MAC-адреса других клиентов

и поднимет ещё один pppoe-сервер для этих MAC-адресов,

он узнает все логины-пароли, а провайдер этого даже не заподозрит.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this