форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Скрипты, настройки и файлы конфигурации. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Организация защиты от подмены IP адреса"
Сообщение от darckly on 03-Окт-02, 12:50  (MSK)
Как можно не допустить подмену IP адреса на чужой машине? Раньше эта проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через arp -s, но теперь встретился с фактом, что можно на некоторых картах прямо в их настройках вручную изменять MAC. Можно ли как-либо ещё что-то сделать, чтобы избежать такого проникновения?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Организация защиты от подмены IP адреса"
Сообщение от Volodymyr on 07-Окт-02, 10:21  (MSK)
Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC. То есть карточка привязана к порту. Это могут Cisco Catalyst. Про остальных вендоров не в курсе. > >Как можно не допустить подмену IP адреса на чужой машине? Раньше эта >проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через >arp -s, но теперь встретился с фактом, что можно на некоторых >картах прямо в их настройках вручную изменять MAC. Можно ли как-либо >ещё что-то сделать, чтобы избежать такого проникновения?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Организация защиты от подмены IP адреса"
	Сообщение от darckly on 07-Окт-02, 19:48  (MSK)
	>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC. >То есть карточка привязана к порту. Это могут Cisco Catalyst. Про >остальных вендоров не в курсе. > Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно допустить, что на каком-либо свиче в то время, пока реальный хозяин отсутствует, может быть произведёно нелегальное подключение в тот же порт. Как я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку идентифицироваться под другим именем. Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера. Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка иного мака уже идёт програмно. Вот и призадумался, можно ли получить "реальный" адрес сетевой в обход программному?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Организация защиты от подмены IP адреса"
	Сообщение от LS on 07-Окт-02, 23:09  (MSK)
	>>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC. >>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про >>остальных вендоров не в курсе. >> > >Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое >пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно >допустить, что на каком-либо свиче в то время, пока реальный хозяин >отсутствует, может быть произведёно нелегальное подключение в тот же порт. Общие мысли: Если клиент имеет возможность изменять физическую структуру сети (т.е. грубо говоря отключиться от одного порта такого "умного" свича и подсоединиться к другому с подменой mac адреса сетевой карты), то единственный на мой взгяд выход, который обеспечивает достаточную надежность - это аутентификация клиента при подключении. После аутентификации выдать ему определенный IP, и на его основе биллинговать клиента в течении сесии. Другие варианты в исходных условиях задачи по моему не применимы (хотя может быть я их просто не вижу). Общий ход мысли прост - если клиент может менять все исходные условия задачи (mac, ip, место подключения в физической структуре сети), то нет возможности опираться на эти изначально ненадежные параметры, и единственная возможность достоверно определить клиента - старый дедовский способ - логин+пароль. В результате вырисовывается хорошо известный механизм AAA - Authentication (опознавание клиента - в простейшем случае опять же логин+пароль), Authorizatition (назначение клиенту ресурсов/параметров соединения, которые он может использовать - в частности IP), Accounting (подсчет ресурсов, использованных клиентом, на основании выданных ему параметров соединения - в частности на основании выданного IP) Как >я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку >идентифицироваться под другим именем. >Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера. >Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка >иного мака уже идёт програмно. Вот и призадумался, можно ли получить >"реальный" адрес сетевой в обход программному?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Организация защиты от подмены IP адреса"
	Сообщение от artcode on 08-Окт-02, 08:18  (MSK)
	>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера. Как вариант можно подключить аутентификацию через squid, socks прокси или активировать подключение по PPPOE или PPTP. Тогла о MAC и IP можно не беспокоится, но вылазит другая проблема - как предотвратить перехват пароля пользовтеля. 1. Перехват на машине пользователя, путем раскопки его локальных файлов содержащих запомненный пароль или установки перехватчика вводимых с клавиатуры символов. Как решение - жесткое паролирование машин пользователей. 2. Перехват сниффером. Решается подключением через IPSEC или PPTP, но если машин много -это не совсем эффективно и излишне ресурсоемко. Подключать каждую машину к свичу, тоже не выход - появислоь куча снифферов, которые и при подключении к свичу все что угодно заснифят, путем той же подмены MAC адреса и введения свича в заблуждение - в итоге опять пришли от чего отталкивались - привязка MAC к порту свича. > Вот и призадумался, можно ли получить >"реальный" адрес сетевой в обход программному? Думаю, что нет.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "небольшая подсказка по защите от смены MAC адреса для свичей..."
Сообщение от uldus on 07-Окт-02, 10:58  (MSK)
Пример фильтрации по MAC адресу для свичей Cisco Catalyst. Привязка к MAC адресу:    mac-address-table secure <mac> <port> [vlan N] Пример: mac-address-table secure 0007.0eaa.3f10 FastEthernet0/1 (См. также mac-address-table static ...) Посмотреть таблицу MAC адресов можно через:    sh mac-address-table Почистить таблицу MAC адресов:    clear mac-address-table Ограничение числа MAC-адресов:    interface FastEthernet0/1       port security max-mac-count 1       port security action <trap|shutdown> trap - генерировать трап при превышении max-mac-count shutdown - гасить интрефейс при превышении max-mac-count Защита от флуда (ограничение большого числа broadcast, unicast или multicast пакетов):     interface FastEthernet0/1        port block multicast        port block unicast        port storm-control broadcast        port storm-control trap Просмотр:     show port storm-control     show port block
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "использование vlan'ов"
Сообщение от uldus on 07-Окт-02, 12:28  (MSK)
Кстати, самый простой и дейтсвенный способ я забыл упомянуть: Прокидываем vlan до ближайшего рутера, а там просто не пропускаем во вне ничеко кроме положенного IP. Недостаток метода: нужен достаточно мощный маршрутизатор. На своей машине юзер прописывает ip 192.168.1.10, ip шлюза 192.168.1.9): На свиче (Cisco Catalyst):    interface VLAN1       ip address 192.168.1.1 255.255.255.0       no ip directed-broadcast       no ip route-cache    interface FastEthernet0/1       switchport access vlan 2 На рутере (тоже Cisco):    interface FastEthernet0/0.1       encapsulation dot1Q 2       ip address 192.168.1.9 255.255.255.252       ip access-group user2-in in       ip access-group user2-out out    ip access-list extended user2-in       permit ip 192.168.1.8 0.0.0.3 any       deny   ip any any    ip access-list extended user2-out       permit ip any 192.168.1.8 0.0.0.3                                             deny   ip any any log
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: использование vlan'ов"
	Сообщение от Hurricane on 07-Окт-02, 17:53  (MSK)
	VPN
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: использование vlan'ов"
	Сообщение от darckly on 07-Окт-02, 19:53  (MSK)
	>VPN Чуть подробнее можно? Просто не знаю, где в Virtual Private Network можно не допустить подмены IP?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: использование vlan'ов"
	Сообщение от Hurricane on 08-Окт-02, 00:09  (MSK)
	>>VPN >Чуть подробнее можно? >Просто не знаю, где в Virtual Private Network можно не допустить подмены >IP? Не надо опираться на IP ... И на MAC .. По протоколу VPN происходит авторизация клиента в сети и создается частное соеденение .. То есть я могу прийти к другу и посидеть у него, за свой счет Ж)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: использование vlan'ов"
	Сообщение от Sergei Batakov on 11-Окт-02, 14:21  (MSK)
	>Кстати, самый простой и дейтсвенный способ я забыл упомянуть: Прокидываем vlan до >ближайшего рутера, а там просто не пропускаем во вне ничеко кроме >положенного IP. Недостаток метода: нужен достаточно мощный маршрутизатор. Это верно, но можно и Unix  машину с поддержкой VLAN, и сделать тоже самое на РС. :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Организация защиты от подмены IP адреса"
Сообщение от appc on 10-Окт-02, 15:52  (MSK)
У нас в домашней сети тоже люди есть которые умеют МАС Адрес менять. Одна половина из них это администраторы, другая их друзья ... :). Вобщем у нас Админы сделали так ... Логин привязали к IP, IP привязали к МАС адресу. Все со своими логинами и паролями с помощью Secure CRT по протоколу SSH2 конектятся на шлюз, а там добавляется правило в фаерволе которое пускает на время открытой сесии в интернет. И они считают что свой пароль ты должен охранять сам, т.е. если похерил свой пароль, то сам виноват.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "RE: Организация защиты от подмены IP адреса"
	Сообщение от mcgru on 31-Окт-02, 13:49  (MSK)
	>т.е. если похерил свой пароль, то сам виноват. ага, из-под W'98 не входить, из-под NT входить - а впрочем тоже: можно запустить программулину которая запоминает в каком приложении какие клавиши нажимались :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	35. "RE: Организация защиты от подмены IP адреса"
	Сообщение от ak on 21-Июн-03, 02:17  (MSK)
	Ага, половина в сети админы, вторая - друзья, а с кого тогда деньги брать? Довольно неудобный способ. pptp проще, многоплатформенный и народ простой к нему быстро привыкает - очень уж на модем похоже.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Организация защиты от подмены IP адреса"
Сообщение от VDaxer on 10-Окт-02, 23:35  (MSK)
может частично сможети помочь arpwatch - если чел не додумается вырубить сетевуху, то есть возможность засечь смену ip/mac А вообще, имхо, самый реальный подход - конект через ssh к роутеру, как это описано в handsbook - http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/openssh.html.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: Организация защиты от подмены IP адреса"
	Сообщение от uldus on 11-Окт-02, 10:09  (MSK)
	>может частично сможети помочь arpwatch В том то и дело, что проблема решается лишь частично, через грамотную организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту. Но если пользователь поменяет MAC и IP адреса на MAC и IP соседа, у которого выключена машина, то arpwatch технология не обнаружит такую подмену. Если нужно просто отследить попытки самовольной смены/присвоения IP адресов - то arpwatch (http://online.securityfocus.com/tools/142) весьма неплохое решение. PS. Недавно натолкнулся на новую, весьма интересную, систему мониторинга http://www.conostix.com/ipfc/ >А вообще, имхо, самый реальный подход - конект через ssh к роутеру, Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: Организация защиты от подмены IP адреса"
	Сообщение от mimohodom on 11-Окт-02, 23:50  (MSK)
	У нас это организовано так: Есть DHCP сервер, он при включении машины отдает тебе фейковый адрес, Затем, ты по VPN'у подключаешься к серверу(с помощью логина\пароля), который проверяет с помощью Radius'a пускать\не пускать.... работало даже на P1 2x133... и сети на 30 машин....
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "RE: Организация защиты от подмены IP адреса"
	Сообщение от Вадим on 12-Окт-02, 12:46  (MSK)
	>У нас это организовано так: >Есть DHCP сервер, >он при включении машины отдает тебе фейковый адрес, >Затем, ты по VPN'у подключаешься к серверу(с помощью логина\пароля), который проверяет >с помощью Radius'a пускать\не пускать.... Если не сложно, приведи примеры твоих конфигов, покажи как у тебя настроено. Очень интересно посмотреть, я только начинаю настраивать подобную инфраструктуру, посмотреть на уже работающий вариант было бы просто замечательно, возможно многим поможет избежать наступлений на одни и теже грабли.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "RE: Организация защиты от подмены IP адреса"
	Сообщение от gara on 22-Окт-02, 14:40  (MSK)
	>В том то и дело, что проблема решается лишь частично, через грамотную >организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту. >>А вообще, имхо, самый реальный подход - конект через ssh к роутеру, > >Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и >к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP. > IPSEC или PPTP седает много ресурсов. Мы делаем делать еще проще(в процессе написания): пишим клиент под win32 сервер под unix. при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на соеденение)  и если все ок. открывает файрвол. если кому интересно можно обсудить по e-mail.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "RE: Организация защиты от подмены IP адреса"
	Сообщение от qq on 27-Окт-02, 22:13  (MSK)
	>>В том то и дело, что проблема решается лишь частично, через грамотную >>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту. >>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру, >> >>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и >>к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP. >> >IPSEC или PPTP седает много ресурсов. > >Мы делаем делать еще проще(в процессе написания): >пишим клиент под win32 >сервер под unix. >при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин >пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на >соеденение)  и если все ок. открывает файрвол. > >если кому интересно можно обсудить по e-mail. однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети, и подменив свой mac/ip может создать туннель к примеру через udp, и пустить через этот туннель ppp. И ничто в большинстве случаев не укажет работающему в сети легальному пользователю, что у него воруют траффик. конечно можно написать драйвер (или патч к ядру, или может прогу на libpcap, хотя это спорно), который будет слушать пакеты в сети, и выявлять пакеты со своим source mac адресом, но которые хост не отправлял в течение последнего времени, предпринимая адекватные действия. Однако надо еще написать такой драйвер под все клиентские системы, да и ресурсов проца это может сожрать неплохо если будет большой траффик в сети
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "RE: Организация защиты от подмены IP адреса"
	Сообщение от gara on 27-Окт-02, 23:07  (MSK)
	>однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети, >и подменив свой mac/ip может создать туннель к примеру через udp, >и пустить через этот туннель ppp. И ничто в большинстве случаев >не укажет работающему в сети легальному пользователю, что у него воруют >траффик. ..... Небоглибы вы отредактировать предыдущее послание а то непонятно коментарием к какой теме(методике) он идет.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "RE: Организация защиты от подмены IP адреса"
	Сообщение от qq on 28-Окт-02, 12:55  (MSK)
	это был комментарий к методу с программой авторизациии, когда после авторизации доступ юзеру открывается файрволом а вообще, при условии что сеть на хабах и нет pptp,ipsec или pppoe, кража траффика возможна , хоть как ты изощряйся. так как входящие пакеты приходят всем компам в сети, и можно слать информацию любому из них, а то и всем сразу, и собирать это ловлей пакетов с проверкой, какие были отправлены специально для тебя (программой, которую для этого придется написать и которая будет работать на хосте в инете)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "RE: Организация защиты от подмены IP адреса"
	Сообщение от gara on 28-Окт-02, 13:48  (MSK)
	>это был комментарий к методу с программой авторизациии, когда после авторизации доступ >юзеру открывается файрволом > >а вообще, при условии что сеть на хабах и нет pptp,ipsec или >pppoe, кража траффика возможна , Согласен но c программой авторизации становится сложнее на порядок а то и на 2. Другими словами если человек такой крутой спец что может сломать все. то он не будет заниматься кражей трафика. ему проще и его купить. т.к. з/п у него должнабыть высокой. если это не так то фраер он :)))
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	36. "RE: Организация защиты от подмены IP адреса"
	Сообщение от tikkit on 03-Фев-04, 19:27  (MSK)
	>>В том то и дело, что проблема решается лишь частично, через грамотную >>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту. >>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру, >> >>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и >>к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP. >> >IPSEC или PPTP седает много ресурсов. > >Мы делаем делать еще проще(в процессе написания): >пишим клиент под win32 >сервер под unix. >при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин >пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на >соеденение)  и если все ок. открывает файрвол. А как фаревол открывать? и закрывать для конкретного пользователя?... приведите пример пож-та >если кому интересно можно обсудить по e-mail. tikkit@yandex.ru
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	38. "RE: Организация защиты от подмены IP адреса"
	Сообщение от Wandering Star on 23-Фев-05, 13:16  (MSK)
	>А как фаревол открывать? и закрывать для конкретного пользователя?... приведите пример пож-та Я это пытаюсь реализовать так: серверная часть на с++ форчится, а потом экзеком просто выполняет следующую команду: iptables -I iptables_chain -s client_ip -j ACCEPT iptables -I iptables_chain -d client_ip -j ACCEPT это естественно самый примитивный вариант, без маркировки пакетов и проч.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: Организация защиты от подмены IP адреса"
Сообщение от Maxim Chirkov on 16-Окт-02, 12:29  (MSK)
Работа с VLAN и ограничения полосы пропускания под Linux В статье "Узел доступа с применением VLAN и ограничения полосы пропускания (Shaping)" описывается решение проблемы изоляции аппаратуры клиентов друг от друга с одновременным предоставлением доступа к единому каналу доступа в интернет для потребителей через применение коммутатора второго уровня с поддержкой 802.1Q (VLAN). https://www.opennet.ru/docs/RUS/vlan_solution/index.html Организация доступа клиентов с применением технологии VPN и тунеллирования В статье описана технология организации виртуального канала, между потребителем и сервером доступа с использованием существующей IP инфраструктуры. При этом для организации туннеля со стороны пользователя требуется знание учетной записи и пароля. Серверная часть реализуется на Linux, клиентская часть под Linux или Windows. https://www.opennet.ru/docs/RUS/vpn_solution/index.html
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "RE: Организация защиты от подмены IP адреса"
	Сообщение от jr on 18-Ноя-02, 17:59  (MSK)
	Для развия темы: для конфигурации freebsd/linux + pptp хотелось бы узнать, насколько мощное железо нужно для 10, 20, 30 и т.д. активных пользователей с шифрованием и без шифрования pptp туннеля? Просто приведите примеры из жизни у кого так работают шлюзы...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "RE: Организация защиты от подмены IP адреса"
Сообщение от irish2000 on 22-Ноя-02, 13:33  (MSK)
> >Как можно не допустить подмену IP адреса на чужой машине? Раньше эта >проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через >arp -s, но теперь встретился с фактом, что можно на некоторых >картах прямо в их настройках вручную изменять MAC. Можно ли как-либо >ещё что-то сделать, чтобы избежать такого проникновения? Я сделал так: Для пользователей под маскарадингом все просто - 1. Открывается аккаунт, пользователю шеллом ставится intmasq (см ниже) 2. Скрипт billmas в кроне на одну минуту по циклу 3. Каталог юзверя содержит: intmasq userdata flag ---------- intmasq: #! /usr/bin/perl -w #programma START/STOP Inet open (flags1,"/home/user/flag.txt"); $usl = <flags1>; if ($usl == 1){ print "Inet DOWN"; open(flags1,">/home/user/flag.txt"); #esli flag=1 to NET vkluchen - otkluchaem print flags1 0,"\n"; #sbrasivaem flag close(flags1); open (userfile1,"> /home/user/userdata"); #ustanavlivaem flag dla billmas.pl print userfile1 0 , "\n"; #otrubaem NET close userfile1; } else{ print "Inet UP"; open(flags1,">/home/user/flag.txt"); #NET vikluchen - vkluchaem print flags1 1,"\n"; #ustanavlivaem flag close(flags1); open (userfile1,"> /home/user/userdata"); print userfile1 1 , "\n"; close userfile1;   } ------------- billmas: #! /usr/bin/perl -w # Eta programma vipolnaetsa pod ROOT i vkl/vikl cepochki IPCHAINS # po zapusku skriptov START/STOP v katalogah polzovatelej # Etot variant TOLKO DLA MASKARADINGA! system ("ipchains -L forward -n -v > /internet/forward.txt"); open (datafile1, "/internet/forward.txt") || die "Fuck off!!!"; OUTER: system ("/sbin/ipchains -L output -n -v > /internet/chains.txt"); open (userfile4, "/home/user/userdata") || die; $data = <userfile4>; close (userfile4); if ($data==1) { #     while (defined ($line = <datafile1>))     {     chomp $line;     #ichem sovpadenie     if ($line =~ /\b192.168.1.2\b/) {     print "inet UP - not duble";     goto dfg56rtmetka;     };     } open (userfile1, ">> /internet/userstat") || die; # print userfile1 "----------" , "\n"  ;                 # close (userfile1); # system ("date >> /internet/userstat"); #pishem datu vhoda v Inet system ("/bin/grep 192.168.1.2 /internet/chains.txt > /internet/statuser/user/tmp.grp"); open (traf1, "/internet/statuser/user/tmp.grp") || die; #blok zapisi statistiki START $line=<traf1>; close(traf1); open (userfile1, ">> /internet/userstat") || die; # print userfile1 $line;                 # close (userfile1); # open (userfile2, "> /home/user/userdata") || die; # print userfile2 2 , "\n"  ;                 #pishem flag "NOP" close (userfile2); # system ("/sbin/ipchains -A forward -i eth0 -s 192.168.1.2 -j MASQ") #razreshaem MASQ }; if ($data==0) { #flag vihoda iz Inet system ("/bin/grep 192.168.1.2 /internet/chains.txt > /internet/statuser/user/tmp.grp"); open (traf1, "/internet/statuser/user/tmp.grp") || die; #blok zapisi statistiki START $line=<traf1>; close(traf1); open (userfile1, ">> /internet/userstat") || die; # print userfile1 $line;                 # close (userfile1); # system ("date >> /internet/userstat"); # open (userfile3, "> /home/user/userdata") || die; # print userfile3 2 , "\n"  ; # close (userfile3); # system ("/sbin/ipchains -D forward -i eth0 -s 192.168.1.2 -j MASQ") #zaprechaem MASQ }; #------------------------------------------------------------------------------ Авторизация юзеров по SSH , не коннектясь на сервер лазят только внутри локалки... Скрипты написаны коряво конечно, но программер я хреновый...
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "RE: Организация защиты от подмены IP адреса"
	Сообщение от zond on 01-Янв-03, 23:28  (MSK)
	Есть такой вариант: юзер входит в свою статистику по http с авторизацией по паролю типа mod_auth_pam-1.0a. там вкл выход в инет запуском скрипта по ссылке. Скрипт проверяет юзера и ip елси ок выставляет в SQL базу ip, name, поле проверки и тп. В памяти серва крутится др скрипт типа while (.T.){ .... wait 5 } который проверяет базу SQL на наличие новых юзеров и выставляет аккаунт новым Через крон через n минут запускать проверку работы юзера в инет, если не работал и есть аккаунт убираем аккаунты. Вариантом можно сделать что бы юзер мог сам выключить выход в инет (типа закрой дверь быстрей).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "RE: Организация защиты от подмены IP адреса"
	Сообщение от gara on 02-Янв-03, 01:04  (MSK)
	>Вариантом можно сделать что бы юзер мог сам >выключить выход в инет (типа закрой дверь быстрей). Предложенная вами схема даавно работает!!! сделайте поиск по форуму.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "RE: Организация защиты от подмены IP адреса"
	Сообщение от gara on 02-Янв-03, 01:07  (MSK)
	>>Вариантом можно сделать что бы юзер мог сам >>выключить выход в инет (типа закрой дверь быстрей). > Предложенная вами схема даавно работает!!! сделайте поиск по форуму. Даже написан клиент на c++ под free  который смотрит в базу mysql и сам прописывает в ядро правила ipfw.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	28. "RE: Организация защиты от подмены IP адреса"
	Сообщение от Vladislav on 02-Янв-03, 01:16  (MSK)
	>>>Вариантом можно сделать что бы юзер мог сам >>>выключить выход в инет (типа закрой дверь быстрей). >> >Предложенная вами схема даавно работает!!! >сделайте поиск по форуму. > >Даже написан клиент на c++ под free  который смотрит в базу >mysql и сам прописывает в ядро правила ipfw. Не хочу никого обидеть, но на админов вы не сильно похожи, да и не программистов тем более. Что вам дает сочитание MAC + IP ? Полным счетом ничего, потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC пользователя сети, зделать его такой же себе, ему изменить, поменять свой IP на его, тогда ваша "умная" программа его отключит а я стану сидеть за счет честного человека в интернете . Вот эта схема работает чудесно :) Есть выход - это авторизация по логину и паролю, что - то напонминает pppoe и т.п.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "RE: Организация защиты от подмены IP адреса"
	Сообщение от gara on 02-Янв-03, 01:31  (MSK)
	Если вы отвечали gare то вот вам мой ответ! >Не хочу никого обидеть, но на админов вы не сильно похожи, да >и не программистов тем более. А как на них похожи? >Что вам дает сочитание MAC + IP ? Полным счетом ничего, >потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC >пользователя сети, зделать его такой же себе, ему изменить, поменять >свой IP на его, тогда ваша "умная" программа его отключит а я >стану сидеть за счет честного человека в интернете . Вы делаете выводы не разобравшись в сути. Когда пользователь блокирует свой IP то блокируется выход в инет с его IP/ т.е. в файрвол прописывается правило что по этому IP никакого трафика. >Вот эта схема работает чудесно :) И вы можете обставиться кучей маков, ничего у вас работать небудет. >Есть выход - это авторизация по логину и паролю, что - то >напонминает pppoe и т.п. Об этом тоже много писалось на форуме, да вариант хороший дающий большую безопастность но поедающий много ресурсов. только ненадо щас рассказывать что у вас 100 клиентов и что все работает замечательно быстро на p-4 2.4G. Мы рассматриваем универсальный вариант. когда есть много роутеров, подключенных к инету в разных местах. И надо в разных местах вести авторизацию чтоб 2_жды не гонать трафик! У вас-же в большинстве случаев, все (~100 компов) подключенно в 1 месте, и стоит нереально мощная машина. А вы на p-i 100 16Мб предложите решение. А если вам что-то гдето напоминает, то будьте подробры примеры, рабочие конфиги, исходники , желательно с возможностью подключаться к разным БД.. А то кое кто  кричит что-то напоминает а реально статистики нету...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	37. "RE: Организация защиты от подмены IP адреса"
	Сообщение от Юзер on 21-Окт-04, 01:45  (MSK)
	>Что вам дает сочитание MAC + IP ? Полным счетом ничего, >потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC > >пользователя сети, зделать его такой же себе, ему изменить, поменять свой IP Ставить конечным пользователям свичи с В-ЛАНАМИ, сосед соседа не видит, как следствие МАС адресов тоже, да и количество хостов + топологию сети. Все это хозяйство втыкать в другие В-ЛАНЫ ;) на роутере, мы например юзаем Marconi/Fore Power Hub 6000-7000 итд, там на каждый порт можно прописать соответствующие связки ИП + МАС, как следствие - других дятлов со свича не пустит. От юзера виден только ГВ, гостальное за ним. Чисто софтверных решений (надежных) не существует. ИМХО
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	30. "RE: Организация защиты от подмены IP адреса"
	Сообщение от zond on 02-Янв-03, 14:09  (MSK)
	>>Вариантом можно сделать что бы юзер мог сам >>выключить выход в инет (типа закрой дверь быстрей). > >Предложенная вами схема даавно работает!!! >сделайте поиск по форуму. клацно! а я тут сам выеживаюсь, выдумываю
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "RE: Организация защиты от подмены IP адреса"
	Сообщение от uzna on 20-Фев-03, 14:51  (MSK)
	Можно жестко контролировать сеть используя виндовую примочку - так называемый profile. В ней можно запретить пользователю менять в винде все - начиная с установки программ и заканчивая броузинком сети. Это очень жестко конечно но действует. Необходимо наличие домена( на Самбе или винде, роли не играет).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	32. "RE: Организация защиты от подмены IP адреса"
	Сообщение от Gara on 22-Фев-03, 11:52  (MSK)
	>Можно жестко контролировать сеть используя виндовую примочку - так называемый profile. В uzna Вы вобще прочитали ВЕСЬ топик ?... какойто ответ у вас не в кассу:))))))))))))))))))
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

33. "RE: Организация защиты от подмены IP адреса"
Сообщение от Zed on 25-Фев-03, 18:08  (MSK)
> >Как можно не допустить подмену IP адреса на чужой машине? Раньше эта >проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через >arp -s, но теперь встретился с фактом, что можно на некоторых >картах прямо в их настройках вручную изменять MAC. Можно ли как-либо >ещё что-то сделать, чтобы избежать такого проникновения? Знаешь у меня сейчас точно такая же проблема! Я прочитал книгу "Технологии защиты информации" (Мамаев,Петренко) и против подмены IP-MAC не нашел подходящего решения! Я даже сталкивался со случаями, когда меняли IP-MAC на адрес соседа при включенных машинах, при этом машина мошенника вытесняет машину честного человека! Если кто знает как такое происходит, как идут пакеты, расскажите плиз!!!
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

34. "Организация защиты от подмены IP адреса"
Сообщение от ASM on 03-Июн-03, 15:24  (MSK)
Если позволяют ресурсы и функции маршрутизатора, то самый оптимальный способ - использование технологии PPPoE. Единственный минусом данного варианта является необходимость установки на компьютере пользователя PPPoE клиента (кроме WinXP, где он уже встроен). А так, сплошные плюсы: ограничение скорости (download, upload) + решение проблемы перехвата трафика благодаря шифрации. Если же забота о конфиденциальности трафика пользователей не столь актуально или же в компетенции самих пользователей, и нет желания возиться с инсталляцией/переинсталляцией PPPoE клиентов (пользователи любят переустанавливать Виндовс :) ), то оптимальней воспользоваться технологией HotSpot, которая не только ограничивает скорость (download, upload), но и объём скаченного-закаченного трафика, а также время пользования. Принцип действия следующий: при первой попытке загрузить в броузере сайт, выдаётся страница авторизации, и только ввода правильного логин/пароль с правильного MAC пользователь получает запрашиваемый сайт. Время действия авторизации - до перезагрузки компьютера, по истечению выставленного пользователю времени или ручного log off. Подробнее о возможностях и настройке HotSpot: http://www.mikrotik.lv/Documentation/manual_2.7/IP/Hotspot.html Кстати, в Латвии данная технология используется не только в "домашних" сетях, но и в гостиницах, конференц-залах и учебных заведениях. Routing The World: http://www.mt.lv
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	39. "Организация защиты от подмены IP адреса"
	Сообщение от Myc (??) on 04-Май-05, 12:17  (MSK)
	>Если позволяют ресурсы и функции маршрутизатора, то самый оптимальный способ - использование >технологии PPPoE. Единственный минусом данного варианта является необходимость установки на компьютере >пользователя PPPoE клиента (кроме WinXP, где он уже встроен). А так, >сплошные плюсы: >ограничение скорости (download, upload) + решение проблемы перехвата трафика благодаря шифрации. Короче. pptp и pppoe можно организовать на mpd+radius. Для mpd (pppoe) на 100 пользователей хватало k6-2 350. Я думаю, при необходимости можно и туже зажать. И не нужны тут крутые скрипты для фаерволов. Разрешен пользователю инет - авторизируйся и сиди спокойно. Запрещен - свободен. Если закончился лимит трафика, то сбрасываем сессию. Также можно mpd+radius считать трафик клиента. Господа, пользуйтесь фаерволами по назначению.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.