URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32338
[ Назад ]

Исходное сообщение
"Локальная сеть"
Отправлено Valerich , 16-Июл-03 16:59

Ситуация следующая локальная сеть на 80 компов. NAT. Выдаются жесткие IP адреса для каждого. Адреса делятся между организациями.
Только вот кто-то повадился траффик воровать, подменяя свой адрес. Как можно в будущем избежать подобных проблем? DHCP? Squid?
Поделитесь, ПЛС, опытом!

Содержание

Локальная сеть,schtazen, 17:43 , 16-Июл-03
- Локальная сеть,nobody, 21:05 , 16-Июл-03
- Локальная сеть,nobody, 21:05 , 16-Июл-03
  - Локальная сеть,DogEater, 21:58 , 16-Июл-03
  - Локальная сеть,Barmaley, 00:28 , 17-Июл-03
Локальная сеть,noname, 09:52 , 17-Июл-03
- Локальная сеть,Alexander, 10:31 , 17-Июл-03
  - Локальная сеть,Крис, 10:51 , 17-Июл-03

Сообщения в этом обсуждении

"Локальная сеть"
Отправлено schtazen , 16-Июл-03 17:43

>Ситуация следующая локальная сеть на 80 компов. NAT. Выдаются жесткие IP адреса
>для каждого. Адреса делятся между организациями.
>Только вот кто-то повадился траффик воровать, подменяя свой адрес. Как можно в
>будущем избежать подобных проблем? DHCP? Squid?
>Поделитесь, ПЛС, опытом!
если у тебя FreeBSD, то самое простое, может временное решение, это жесткая привязка MAC к IP. сделать это можно таким способом:
создаешь файл /etc/arp.conf
#####/etc/arp.conf
192.168.0.1 00:04:cf:45:gf:e0
192.168.0.2 00:0c:43:32:de:c0
.............................
.............................
192.168.0.90 00:00:00:00:00:00
192.168.0.91 00:00:00:00:00:00
.............................
..............................
192.168.0.253 00:00:00:00:00:00
192.168.0.254 00:00:00:00:00:00
############################
ОБЯЗАТЕЛЬНО ДЛЯ ВСЕХ АДРЕСОВ ТВОЕЙ СЕТИ - иначе не имеет смысла....
далее выполняешь команду:
root# arp -f /etc/arp.conf
идея простая: существующий IP в файле сопоставляется с MAC адресом его владельца, а невыданные IP (свободные) забиваются нулями. Если пользователь меняет адрес, то при попытке связаться с сервером (своим шлюзом) сервер не посылает широковещательный arp-запрос, а берет MAC из своей СТАТИЧЕСКОЙ таблицы, котрый соответствует настоящему владельцу, а значит нарушитель этот пакет не получит (его сетевуха его просто отбросит). Есть способ обойти это у злоумышленника , но требует значительных затрат (нетривиальный) и от простой подмены адресов спасает (у меня 2 года работает на машине FreeBSD 4.1.1 и пользователь уже давно отучились подменять адреса)
для легкой перезагрузки можно добавить в /etc/rc.local
#######/etc/rc.local
/usr/sbin/arp - f /etc/arp.conf
#######################
если лень по компам бегать, то
собрать статистику по IP и MAC можно командой
root# netstat -nr
у меня этим занимается скрипт (PERL) ессли надо - пиши на мыло

"Локальная сеть"
Отправлено nobody , 16-Июл-03 21:05

>>Ситуация следующая локальная сеть на 80 компов. NAT. Выдаются жесткие IP адреса
>>для каждого. Адреса делятся между организациями.
>>Только вот кто-то повадился траффик воровать, подменяя свой адрес. Как можно в
>>будущем избежать подобных проблем? DHCP? Squid?
>>Поделитесь, ПЛС, опытом!
>если у тебя FreeBSD, то самое простое, может временное решение, это жесткая
>привязка MAC к IP. сделать это можно таким способом:
>создаешь файл /etc/arp.conf
>#####/etc/arp.conf
>192.168.0.1 00:04:cf:45:gf:e0
>192.168.0.2 00:0c:43:32:de:c0
>.............................
>.............................
>192.168.0.90 00:00:00:00:00:00
>192.168.0.91 00:00:00:00:00:00
>.............................
>..............................
>192.168.0.253 00:00:00:00:00:00
>192.168.0.254 00:00:00:00:00:00
>############################
>ОБЯЗАТЕЛЬНО ДЛЯ ВСЕХ АДРЕСОВ ТВОЕЙ СЕТИ - иначе не имеет смысла....
>
>далее выполняешь команду:
>
>root# arp -f /etc/arp.conf
>
>идея простая: существующий IP в файле сопоставляется с MAC адресом его владельца,
>а невыданные IP (свободные) забиваются нулями. Если пользователь меняет адрес, то
>при попытке связаться с сервером (своим шлюзом) сервер не посылает широковещательный
>arp-запрос, а берет MAC из своей СТАТИЧЕСКОЙ таблицы, котрый соответствует настоящему
>владельцу, а значит нарушитель этот пакет не получит (его сетевуха его
>просто отбросит). Есть способ обойти это у злоумышленника , но требует
>значительных затрат (%

"Локальная сеть"
Отправлено nobody , 16-Июл-03 21:05

>>Ситуация следующая локальная сеть на 80 компов. NAT. Выдаются жесткие IP адреса
>>для каждого. Адреса делятся между организациями.
>>Только вот кто-то повадился траффик воровать, подменяя свой адрес. Как можно в
>>будущем избежать подобных проблем? DHCP? Squid?
>>Поделитесь, ПЛС, опытом!
>если у тебя FreeBSD, то самое простое, может временное решение, это жесткая
>привязка MAC к IP. сделать это можно таким способом:
>создаешь файл /etc/arp.conf
>#####/etc/arp.conf
>192.168.0.1 00:04:cf:45:gf:e0
>192.168.0.2 00:0c:43:32:de:c0
>.............................
>.............................
>192.168.0.90 00:00:00:00:00:00
>192.168.0.91 00:00:00:00:00:00
>.............................
>..............................
>192.168.0.253 00:00:00:00:00:00
>192.168.0.254 00:00:00:00:00:00
>############################
>ОБЯЗАТЕЛЬНО ДЛЯ ВСЕХ АДРЕСОВ ТВОЕЙ СЕТИ - иначе не имеет смысла....
>
>далее выполняешь команду:
>
>root# arp -f /etc/arp.conf
>
>идея простая: существующий IP в файле сопоставляется с MAC адресом его владельца,
>а невыданные IP (свободные) забиваются нулями. Если пользователь меняет адрес, то
>при попытке связаться с сервером (своим шлюзом) сервер не посылает широковещательный
>arp-запрос, а берет MAC из своей СТАТИЧЕСКОЙ таблицы, котрый соответствует настоящему
>владельцу, а значит нарушитель этот пакет не получит (его сетевуха его
>просто отбросит). Есть способ обойти это у злоумышленника , но требует
>значительных затрат (нетривиальный) и от простой подмены адресов спасает (у меня
>2 года работает на машине FreeBSD 4.1.1 и пользователь уже давно
>отучились подменять адреса)
>
>для легкой перезагрузки можно добавить в /etc/rc.local
>#######/etc/rc.local
>/usr/sbin/arp - f /etc/arp.conf
>#######################
>если лень по компам бегать, то
>собрать статистику по IP и MAC можно командой
>root# netstat -nr
>у меня этим занимается скрипт (PERL) ессли надо - пиши на мыло
>

Полный бред господа!!! простите право, это не поможет ничто не мешает юзеру поменять айпи и мак и поиметь инет с машины админа! :-)

"Локальная сеть"
Отправлено DogEater , 16-Июл-03 21:58

На www.linux.org.ru была ссылка на статью про авторизацию пользователя в домене w2k и выдача инета через сквид только пользователям уже прошедшим авторизацию. Решалось кажется через ldap. Я читал мельком - вроде здраво написано, но в дебри лезть не стал.
Я думаю что просмотр всех новостей на LOR за этот год не вызовет особо больших затрат :-).

"Локальная сеть"
Отправлено Barmaley , 17-Июл-03 00:28

>>>Ситуация следующая локальная сеть на 80 компов. NAT. Выдаются жесткие IP адреса
>>>для каждого. Адреса делятся между организациями.
>>>Только вот кто-то повадился траффик воровать, подменяя свой адрес. Как можно в
>>>будущем избежать подобных проблем? DHCP? Squid?
>>>Поделитесь, ПЛС, опытом!
>>если у тебя FreeBSD, то самое простое, может временное решение, это жесткая
>>привязка MAC к IP. сделать это можно таким способом:
>>создаешь файл /etc/arp.conf
>>#####/etc/arp.conf
>>192.168.0.1 00:04:cf:45:gf:e0
>>192.168.0.2 00:0c:43:32:de:c0
>>.............................
>>.............................
>>192.168.0.90 00:00:00:00:00:00
>>192.168.0.91 00:00:00:00:00:00
>>.............................
>>..............................
>>192.168.0.253 00:00:00:00:00:00
>>192.168.0.254 00:00:00:00:00:00
>>############################
>>ОБЯЗАТЕЛЬНО ДЛЯ ВСЕХ АДРЕСОВ ТВОЕЙ СЕТИ - иначе не имеет смысла....
>>
>>далее выполняешь команду:
>>
>>root# arp -f /etc/arp.conf
>>
>>идея простая: существующий IP в файле сопоставляется с MAC адресом его владельца,
>>а невыданные IP (свободные) забиваются нулями. Если пользователь меняет адрес, то
>>при попытке связаться с сервером (своим шлюзом) сервер не посылает широковещательный
>>arp-запрос, а берет MAC из своей СТАТИЧЕСКОЙ таблицы, котрый соответствует настоящему
>>владельцу, а значит нарушитель этот пакет не получит (его сетевуха его
>>просто отбросит). Есть способ обойти это у злоумышленника , но требует
>>значительных затрат (нетривиальный) и от простой подмены адресов спасает (у меня
>>2 года работает на машине FreeBSD 4.1.1 и пользователь уже давно
>>отучились подменять адреса)
>>
>>для легкой перезагрузки можно добавить в /etc/rc.local
>>#######/etc/rc.local
>>/usr/sbin/arp - f /etc/arp.conf
>>#######################
>>если лень по компам бегать, то
>>собрать статистику по IP и MAC можно командой
>>root# netstat -nr
>>у меня этим занимается скрипт (PERL) ессли надо - пиши на мыло
>>
>
>
>Полный бред господа!!! простите право, это не поможет ничто не мешает юзеру
>поменять айпи и мак и поиметь инет с машины админа! :-)
>
на хитрую жопу есть хуй с винтом

"Локальная сеть"
Отправлено noname , 17-Июл-03 09:52

>Ситуация следующая локальная сеть на 80 компов. NAT. Выдаются жесткие IP адреса
>для каждого. Адреса делятся между организациями.
>Только вот кто-то повадился траффик воровать, подменяя свой адрес. Как можно в
>будущем избежать подобных проблем? DHCP? Squid?
>Поделитесь, ПЛС, опытом!
Адреса что, все из одной подсети?
Сделать подсети по организациям, ну и весь http/ftp через Squid с авторизацией по имени пользователя пропустить

"Локальная сеть"
Отправлено Alexander , 17-Июл-03 10:31

Первый путь:
1. привязка mac+ip
2. простенькая авторизация через веб (ввел имя, пароль и доступ). Обязать юзеров ее пользоваться, иначе их вина.
3. патч к ядру на анализ одновременного прихода двух arp ответов на who-is(защитимся от одновременной работы двух машин с одинаковыми ip и mac)
Второй путь: для добства dhcpd + poptop (mpd) с шифрованием трафика.

"Локальная сеть"
Отправлено Крис , 17-Июл-03 10:51

Че вы мужики распинаетесь, вон он как хамит arp... ВСЕ ПОЛЬЗУЕМСЯ! ВСЁ РАБОТАЕТ! Плюс VPN! И более нифига тебе не надо будет