Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Сказка про MAC, IP & DHCP, NetKnight (?), 19-Ноя-03, (0) [смотреть все] Вначале хочу выразить свое восхищение стилем изложения проблемы Очень понравилос, tstalker (?), 18:46 , 19-Ноя-03, (1)   // Хммм Ну я примерно так и думал Ну это я итак знаю, но вопрос другой, как, NetKnight (?), 22:49 , 19-Ноя-03, (2)   // Главное - админ всегда будет в курсе при появлении незарегистрированного MAC а И, tstalker (?), 11:06 , 20-Ноя-03, (3)   // Да мне лишь бы он просто доступ к серваку не получил Мне не нужно, чтоб от него , NetKnight (?), 15:10 , 20-Ноя-03, (6)   Гм, дак все нули - это вроде бродкаст Именно - по другому никак Угу, но попробо, dawnshade (?), 11:18 , 20-Ноя-03, (4)   // Никогда не слышел о бродкастовых МАКах Это в TCP IP технологии Она более выс, NetKnight (?), 15:13 , 20-Ноя-03, (7)   Вообщем озадачивался я такой же проблемой и пока пришел лишь к такому возможному, Psy (?), 11:27 , 20-Ноя-03, (5)   1

Сообщения

[Сортировка по времени | RSS]

1. "Сказка про MAC, IP & DHCP"	+/–
Сообщение от tstalker (?), 19-Ноя-03, 18:46
Вначале хочу выразить свое восхищение стилем изложения проблемы. Очень понравилось, снимаю шляпу! :) А теперь - по сути дела. К сожалению, сразу огорчу - полностью вся затея не выгорит. Нельзя запретить юзеру статически устанавливать официально принятые в организации параметры локального клиента TCP/IP. А вот строго запретить самовольно устанавливать себе чужой IP-адрес - это можно и нужно сделать. На сервере денно и нощно должен крутиться arpwatch или аналогичный сервис. Чуть замечена смена IP на каком-то MAC'е - email админу. Админ тут же глядит на arp-таблицы свичей. В минуту вычисляет, на каком порту сидит MAC хитрож...ого юзера. Недрогнувшей рукой выдергивает сетевой кабель из порта либо программно гасит порт на свиче. Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит шефу и докладывает ситуацию. Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет. И Ваши нервы станут мягкие и шелковистые! :)
Ответить | Правка | Наверх | Cообщить модератору

	2. "Сказка про MAC, IP & DHCP"	+/–
	Сообщение от NetKnight (?), 19-Ноя-03, 22:49
	>Вначале хочу выразить свое восхищение стилем изложения проблемы. >Очень понравилось, снимаю шляпу! :) :) >А теперь - по сути дела. >К сожалению, сразу огорчу - полностью вся затея не выгорит. >Нельзя запретить юзеру статически устанавливать официально принятые в организации параметры локального клиента >TCP/IP. Хммм.. Ну я примерно так и думал.. :) >А вот строго запретить самовольно устанавливать себе чужой IP-адрес - это можно >и нужно сделать. >На сервере денно и нощно должен крутиться arpwatch или аналогичный сервис. >Чуть замечена смена IP на каком-то MAC'е - email админу. >Админ тут же глядит на arp-таблицы свичей. >В минуту вычисляет, на каком порту сидит MAC хитрож...ого юзера. >Недрогнувшей рукой выдергивает сетевой кабель из порта либо программно гасит порт на >свиче. Ну это я итак знаю, но вопрос другой, как сделать так, чтоб юзера с незарегенным МАКом не пропускало? Вообщем я использую пока такой способ, но в нём есть уязвимость: Я жёстко прописал АРП-таблицу и все не задействованые прописал на МАК: 00:00:00:00:00:00. Вроде бы работает, только вот одна проблема - в карточку можно прошить МАК со всеми нулями! Хотя что мешает и АРП соседа прописать.. :( Наверное сейчас ВПН предлагать начнут :) >Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит >шефу и докладывает ситуацию. >Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет. >И Ваши нервы станут мягкие и шелковистые! :) Если бы юзеры, тож клиенты... :) ЗЫ: У меня кстати как-то арп странно работает... Через какое-то время АРП таблица (написанная мной) сбрасывается, это только у меня или так и задуманно? Приходится 2 раза в сутке кроном её переписывать... :(
	Ответить | Правка | Наверх | Cообщить модератору

	3. "Сказка про MAC, IP & DHCP"	+/–
	Сообщение от tstalker (?), 20-Ноя-03, 11:06
	>как сделать так, чтоб юзера с незарегенным МАКом не пропускало? Главное - админ всегда будет в курсе при появлении незарегистрированного MAC'а. И всегда сможет вычислить, откуда идет трафик с этим MAC'ом. Дальше - дело техники. :) >ЗЫ: У меня кстати как-то арп странно работает... Все правильно - arp-таблица регулярно динамически обновляется.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Сказка про MAC, IP & DHCP"	+/–
	Сообщение от NetKnight (?), 20-Ноя-03, 15:10
	>>как сделать так, чтоб юзера с незарегенным МАКом не пропускало? > >Главное - админ всегда будет в курсе при появлении незарегистрированного MAC'а. Да мне лишь бы он просто доступ к серваку не получил. >И всегда сможет вычислить, откуда идет трафик с этим MAC'ом. >Дальше - дело техники. :) Мне не нужно, чтоб от него шёл трафик, мне надо, чтоб он вобще получал ответ, хост унричибл.. >>ЗЫ: У меня кстати как-то арп странно работает... >Все правильно - arp-таблица регулярно динамически обновляется. Бред какой... А зачем тогда статически прописаные адреса? Либо я что-то не понимаю..
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Сказка про MAC, IP & DHCP"	+/–
	Сообщение от dawnshade (?), 20-Ноя-03, 11:18
	>Ну это я итак знаю, но вопрос другой, как сделать так, чтоб >юзера с незарегенным МАКом не пропускало? >Вообщем я использую пока такой способ, но в нём есть уязвимость: >Я жёстко прописал АРП-таблицу и все не задействованые прописал на МАК: 00:00:00:00:00:00. >Вроде бы работает, только вот одна проблема - в карточку можно >прошить МАК со всеми нулями! Гм, дак все нули - это вроде бродкаст?? >Хотя что мешает и АРП соседа прописать.. :( >Наверное сейчас ВПН предлагать начнут :) Именно - по другому никак. >>Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит >>шефу и докладывает ситуацию. >>Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет. >>И Ваши нервы станут мягкие и шелковистые! :) > >Если бы юзеры, тож клиенты... :) Угу, но попробовать вышеописанный способ не помешает. Тут : https://www.opennet.ru/base/df/480.txt.html в деталях и красках... Стиль не хуже в каком был задан вопрос :)
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	7. "Сказка про MAC, IP & DHCP"	+/–
	Сообщение от NetKnight (?), 20-Ноя-03, 15:13
	> >>Ну это я итак знаю, но вопрос другой, как сделать так, чтоб >>юзера с незарегенным МАКом не пропускало? > >>Вообщем я использую пока такой способ, но в нём есть уязвимость: >>Я жёстко прописал АРП-таблицу и все не задействованые прописал на МАК: 00:00:00:00:00:00. >>Вроде бы работает, только вот одна проблема - в карточку можно >>прошить МАК со всеми нулями! >Гм, дак все нули - это вроде бродкаст?? Никогда не слышел о бродкастовых МАКах :) Это в TCP/IP технологии.. Она более высокого уровня :) >>Хотя что мешает и АРП соседа прописать.. :( >>Наверное сейчас ВПН предлагать начнут :) >Именно - по другому никак. Ну ВПН же не настроить так, чтоб юзеру ничего прописывать не приходилось... Сам он же не подымется на его компе.. :) >>>Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит >>>шефу и докладывает ситуацию. >>>Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет. >>>И Ваши нервы станут мягкие и шелковистые! :) >>Если бы юзеры, тож клиенты... :) >Угу, но попробовать вышеописанный способ не помешает. Тут : https://www.opennet.ru/base/df/480.txt.html >в деталях и красках... Стиль не хуже в каком был задан вопрос >:) :)
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Сказка про MAC, IP & DHCP"	+/–
	Сообщение от Psy (?), 20-Ноя-03, 11:27
	Вообщем озадачивался я такой же проблемой и пока пришел лишь к такому возможному решению... IP привязывается к MAC через arp, поэтому взять зарегистрированный IP уже не удастся, если тебе гавное закрыть доступ в нет всем незарегистрированным пользователям, то на этом можно было бы и ограничиться, но постольку поскольку, как я понимаю, задача твоя, чтобы незарегенные ползователи вообще доступа к сети не имели, то есть на мой взгляд только два варианта: 1 записать свободные ip в арпе любыми маками (не нулевыми, разгадать их просто). 2 ограничить сеть согласно количеству зарегистрированных пользователей вот глянь здесь: https://www.opennet.ru/openforum/vsluhforumID1/37359.html, то есть смысл в том, что все зарегистрированные ip защищены арпом а других просто нет..
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема