Morfey Posted December 22, 2002 Posted December 22, 2002 я вот что подумал.... IP и МАК адрес же приписываются пакету непосредственно сетевой картой? А что если после сетевой поставить девайс который будет значения АйПи и МАК-адресов менять на другие??? Вставить ник Quote
Rebel Posted December 22, 2002 Posted December 22, 2002 ну??? внатуре пошто:)? зачем девайс если сетевка это может делать..... самое главное непонятна цель сего злого намерения...:) Вставить ник Quote
Holg Posted December 22, 2002 Posted December 22, 2002 аааа ... кажись допер - он его между свичем и хитрым юзверем будет сувать ... для противодействия - токо юзверь химичить - ан нет, все уже поменяно до вас ;) Вставить ник Quote
Tet Posted December 23, 2002 Posted December 23, 2002 Эдакий статическмй МАТ :-)) сделать хочется? Если решать задачку "в лоб", то надо две сетевые карточки или их камни и нечто между ними. Это нечто можно построить на мелком контроллере (жутко специализированном в сетевом смысле) или на толстой программируемой матрице. Правда, влюбом случае, не дешево это будет. Для решения задачи "задать жестую связь между юзверем и портом хаба(свича)" можно попробовать применить Port based VLAN. Оный VLAN просто пометит все пакеты от конкретного порта уникальным ID. Как использовать для биллинга эту пометку я еще не знаю. Вставить ник Quote
Nag Posted December 23, 2002 Posted December 23, 2002 Для решения задачи "задать жестую связь между юзверем и портом хаба(свича)" можно попробовать применить Port based VLAN. Оный VLAN просто пометит все пакеты от конкретного порта уникальным ID. Port based VLAN никак в пакеты лезть не может. На то он и Port based. Теги добавляют 802.1q, VLT, ISL, и еще кучка совсем мертых... Вставить ник Quote
Tet Posted December 23, 2002 Posted December 23, 2002 Port based VLAN никак в пакеты лезть не может. На то он и Port based. Теги добавляют 802.1q' date=' VLT, ISL, и еще кучка совсем мертых...[/quote'] Таки да, лохонулся. Следует читать "VLAN по стандарту 802.1q с принудительной установкой тегов на порту свича". Вставить ник Quote
Morfey Posted December 23, 2002 Author Posted December 23, 2002 хм :) цель "сего злого намерения", как уже здесь написали люди - это ставить такое устройство после порта свитча юзверю, что бы эти зверьки не меняли свои АйПи адреса и МАКи не перепрошивали. А что нехило? Подснифил у соседа МАК-адрес, прошил свой ртл 8029, поменял АйПи и вперед, ничто не мешает тебе :-) Хм. а что там насчет сетевых карт? Как это в карту "защить" можно? Вставить ник Quote
DrDiesel Posted December 23, 2002 Posted December 23, 2002 не надо ничего прошивать ;-)) в линухе делается одной строчкой, да и винде нормальные карточки имеют в настройках драйвера закладочку, где можно МАС выставить... Вставить ник Quote
Tet Posted December 23, 2002 Posted December 23, 2002 хм :) цель "сего злого намерения", как уже здесь написали люди - это ставить такое устройство после порта свитча юзверю, что бы эти зверьки не меняли свои АйПи адреса и МАКи не перепрошивали. А что нехило? Подснифил у соседа МАК-адрес, прошил свой ртл 8029, поменял АйПи и вперед, ничто не мешает тебе :-) Это понятно. Я предложил способ как отловить злого халявщика без сложных аппаратных решений. Смотрим на МАС+IP и на VLAN-тег. Если не совпадает с учетными данными значит вот он хацкер. По тегу определяем виновника и весь ворованый трафик оплачиваем его деньгами или блокируем. В теории все просто здорово.. Вставить ник Quote
Nag Posted December 23, 2002 Posted December 23, 2002 Tet, Работает-то это хорошо. :-) Даже Влан не нужен - просто врубить МАК-секьюрити на порту. Только :-( - коммутаторы не сильно дешевые... Вставить ник Quote
Sirco Posted December 23, 2002 Posted December 23, 2002 Tet, Даже Влан не нужен - просто врубить МАК-секьюрити на порту. Только :-( - коммутаторы не сильно дешевые... Наг не "гони пургу" насчет цены - предложенное решение насчет установки сеьюрити на порту свича - самое дешевое и самое правильное . дешевле просто не бывает . Ты просто посчитай стоимость изготовления любого устройства на каждый порт свича и стоимость данного комплекса выйдет в 2-3 раза больше чем любой управляемый свич .... не говоря о надежности данного комплекса .... Так что заходите в раздел оборудование и покупайте, пока Наг добрый и продает нормальные управляемые свичи по смешным ценам ;-) а то после это письма он начнет поднимать цены .... ;-) Вставить ник Quote
Nag Posted December 23, 2002 Posted December 23, 2002 Sirco, Так что заходите в раздел оборудование и покупайте, пока Наг добрый и продает нормальные управляемые свичи по смешным ценам ;-) а то после это письма он начнет поднимать цены .... ;-) %-)))))))))) Да склад вычищен на месяц вперед уже. Одна надежда на январьское затишье - успею подогнать тылы. Вставить ник Quote
Holg Posted December 23, 2002 Posted December 23, 2002 Одна надежда на январьское затишье - успею подогнать тылы. Опа... а хто там в тылу у Е-бурга ? Не Красноярск ли ? ;) Вставить ник Quote
Нетворк Posted December 23, 2002 Posted December 23, 2002 Хеее... Как в одном фильме нужен "Мониторинг" "Мониторинга" без ниго ни как получается ;-) Вставить ник Quote
Morfey Posted December 24, 2002 Author Posted December 24, 2002 А Vlan хацкер разве вычистить не сможет? Вставить ник Quote
Holg Posted December 24, 2002 Posted December 24, 2002 Гы... а как ты себе это представляешь ??? Вставить ник Quote
Morfey Posted December 25, 2002 Author Posted December 25, 2002 А можно ли мне админу пронюхать хакера, если он в карте сменил МАК-адрес и свой АйПи (доступ у меня сделан по соответствию МАК+IP). Свичи стоят у меня обычные сурекомы и длинки еще местами :) Вставить ник Quote
Morfey Posted December 25, 2002 Author Posted December 25, 2002 Гы... а как ты себе это представляешь ??? а эти теги свич добавлять или как, понять не могу? :) Вставить ник Quote
Rebel Posted December 25, 2002 Posted December 25, 2002 да перестаньте вы ерундой страдать! аутентификация по железякам это @#$ня! по логинпароль надо - и пусть хоть из космоса заходит:) Вставить ник Quote
KoloBok Posted December 27, 2002 Posted December 27, 2002 да перестаньте вы ерундой страдать! аутентификация по железякам это @#$ня! по логинпароль надо - и пусть хоть из космоса заходит:) Ню-ню! Ты доку то смотрел по 3COM SS 1100 хоть? Port security = on. Преложи (предположи) хоть один вариант взлома с подменой ip или mac? Вставить ник Quote
Nag Posted December 27, 2002 Posted December 27, 2002 да перестаньте вы ерундой страдать! аутентификация по железякам это @#$ня! по логинпароль надо - и пусть хоть из космоса заходит:) Вот из космоса-то как раз хорошо получится в этом случае. :-))) Только вот как туда счет выставить... Вставить ник Quote
Tet Posted December 28, 2002 Posted December 28, 2002 Ню-ню! Ты доку то смотрел по 3COM SS 1100 хоть? Port security = on. Преложи (предположи) хоть один вариант взлома с подменой ip или mac? Я что-то пропустил? SS 1100 умеет запоминать IP на порту? Интересно, а как обстоят дела с защитой канала управления у свичей? Вставить ник Quote
Nag Posted December 28, 2002 Posted December 28, 2002 Tet, Я что-то пропустил? SS 1100 умеет запоминать IP на порту? Интересно, а как обстоят дела с защитой канала управления у свичей? А зачем ему запоминать IP? За глаза хватит МАС. Куда после этого пользователь денется-то... :-) И с каналом упрвления какие проблемы? Перехватить телнет, который идет по бэкбону, не так-то просто. И "поломать" тот же 3com скорее всего не получится... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.