>Просмотрел форум, вопросы похожие были, но не совсем. Ситуация следующая: >сервер под FreeBSD 5.2, поднят dhcp (выдает адреса прописанным по MAC'у из >диапазона 192.168.0.1-192.168.0.100, конкретному МАКу конкретный IP и всем непрописанным пользователям из >диапазона 192.168.0.200-192.168.0.240). У многих из первого диапазона(.1-.100) есть полный доступ к >серверу(games+mail+other). Т.е. в отсутствие 192.168.0.1, который имеет доступ к серверу, любой >желающий может ручками поставить его IP и попользоваться сервером. Естесственный вопрос: >как избежать подобного? Появилась идея парсить сообщения от arpwatch'а и в >подобных случаях отрезать MAC в ipfw. Правильно ли мыслю? Может готовые >решения есть? Заранее всем спасибо за возможную дискуссию :) Если хватает мозгов поменять IP то очень быстро догадаются поменять и MAC! 1. Можно жестко привязать MAC к IP (не спасает от подмены MAC-а) 2. Авторизация - т.е. доступ к ресурсу по логину - паролю. (Всякие нехорошие люди пароли запросто разглашают) 3. поставить свич, кот позволяет жестко прописывать какой мас на каком порту пускать. при замене мас пользователь вообще никуда не выйдет.
|