URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 37441
[ Назад ]

Исходное сообщение
"Сказка про MAC, IP & DHCP"

Отправлено NetKnight , 19-Ноя-03 03:18 
Жил да был сервер и было у него счастье, пока хозяин не захотел, чтобы юзеры жёстко контроллировались. И дал он админу задание: "Вот надо сделать так, чтоб юзер Ай-Пи только через DHCPd получал и никак по другому, а IP чтоб раздавалось по МАКу. Причём, если айпи, маску и гейтвей прописать статично, чтоб не работало.. Ну и естессно, чтоб все незарегеные маки вообще к серверу обратиться не могли.."
Почесал админ затылок, посмотрел документацию и понял, что там не всё так просто. Сидит и горюет: "Ну ладно маки с айпи пропишу в конфиге ДХЦП и АРПЕ, но как запретить статически здавать параметры? Да и как незарегеных не пускать?". Взял да и написал эту сказку, чтоб добрая сисадминская фея ему совет мудрый дала и чтоб было у него и его сервера счастье. А тут сказки конец, кто поможет - молодец! :)

Содержание

Сообщения в этом обсуждении
"Сказка про MAC, IP & DHCP"
Отправлено tstalker , 19-Ноя-03 18:46 
Вначале хочу выразить свое восхищение стилем изложения проблемы.
Очень понравилось, снимаю шляпу! :)
А теперь - по сути дела.
К сожалению, сразу огорчу - полностью вся затея не выгорит.
Нельзя запретить юзеру статически устанавливать официально принятые в организации параметры локального клиента TCP/IP.
А вот строго запретить самовольно устанавливать себе чужой IP-адрес - это можно и нужно сделать.
На сервере денно и нощно должен крутиться arpwatch или аналогичный сервис.
Чуть замечена смена IP на каком-то MAC'е - email админу.
Админ тут же глядит на arp-таблицы свичей.
В минуту вычисляет, на каком порту сидит MAC хитрож...ого юзера.
Недрогнувшей рукой выдергивает сетевой кабель из порта либо программно гасит порт на свиче.
Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит шефу и докладывает ситуацию.
Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет.
И Ваши нервы станут мягкие и шелковистые! :)

"Сказка про MAC, IP & DHCP"
Отправлено NetKnight , 19-Ноя-03 22:49 
>Вначале хочу выразить свое восхищение стилем изложения проблемы.
>Очень понравилось, снимаю шляпу! :)

:)

>А теперь - по сути дела.
>К сожалению, сразу огорчу - полностью вся затея не выгорит.
>Нельзя запретить юзеру статически устанавливать официально принятые в организации параметры локального клиента
>TCP/IP.

Хммм.. Ну я примерно так и думал.. :)

>А вот строго запретить самовольно устанавливать себе чужой IP-адрес - это можно
>и нужно сделать.
>На сервере денно и нощно должен крутиться arpwatch или аналогичный сервис.
>Чуть замечена смена IP на каком-то MAC'е - email админу.
>Админ тут же глядит на arp-таблицы свичей.
>В минуту вычисляет, на каком порту сидит MAC хитрож...ого юзера.
>Недрогнувшей рукой выдергивает сетевой кабель из порта либо программно гасит порт на
>свиче.

Ну это я итак знаю, но вопрос другой, как сделать так, чтоб юзера с незарегенным МАКом не пропускало?
Вообщем я использую пока такой способ, но в нём есть уязвимость:
Я жёстко прописал АРП-таблицу и все не задействованые прописал на МАК: 00:00:00:00:00:00. Вроде бы работает, только вот одна проблема - в карточку можно прошить МАК со всеми нулями!
Хотя что мешает и АРП соседа прописать.. :(
Наверное сейчас ВПН предлагать начнут :)

>Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит
>шефу и докладывает ситуацию.
>Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет.
>И Ваши нервы станут мягкие и шелковистые! :)

Если бы юзеры, тож клиенты... :)

ЗЫ: У меня кстати как-то арп странно работает... Через какое-то время АРП таблица (написанная мной) сбрасывается, это только у меня или так и задуманно? Приходится 2 раза в сутке кроном её переписывать... :(


"Сказка про MAC, IP & DHCP"
Отправлено tstalker , 20-Ноя-03 11:06 
>как сделать так, чтоб юзера с незарегенным МАКом не пропускало?

Главное - админ всегда будет в курсе при появлении незарегистрированного MAC'а.
И всегда сможет вычислить, откуда идет трафик с этим MAC'ом.
Дальше - дело техники. :)

>ЗЫ: У меня кстати как-то арп странно работает...

Все правильно - arp-таблица регулярно динамически обновляется.


"Сказка про MAC, IP & DHCP"
Отправлено NetKnight , 20-Ноя-03 15:10 
>>как сделать так, чтоб юзера с незарегенным МАКом не пропускало?
>
>Главное - админ всегда будет в курсе при появлении незарегистрированного MAC'а.

Да мне лишь бы он просто доступ к серваку не получил.

>И всегда сможет вычислить, откуда идет трафик с этим MAC'ом.
>Дальше - дело техники. :)

Мне не нужно, чтоб от него шёл трафик, мне надо, чтоб он вобще получал ответ, хост унричибл..

>>ЗЫ: У меня кстати как-то арп странно работает...
>Все правильно - arp-таблица регулярно динамически обновляется.
Бред какой... А зачем тогда статически прописаные адреса?
Либо я что-то не понимаю..


"Сказка про MAC, IP & DHCP"
Отправлено dawnshade , 20-Ноя-03 11:18 

>Ну это я итак знаю, но вопрос другой, как сделать так, чтоб
>юзера с незарегенным МАКом не пропускало?

>Вообщем я использую пока такой способ, но в нём есть уязвимость:
>Я жёстко прописал АРП-таблицу и все не задействованые прописал на МАК: 00:00:00:00:00:00.
>Вроде бы работает, только вот одна проблема - в карточку можно
>прошить МАК со всеми нулями!

Гм, дак все нули - это вроде бродкаст??

>Хотя что мешает и АРП соседа прописать.. :(
>Наверное сейчас ВПН предлагать начнут :)

Именно - по другому никак.

>>Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит
>>шефу и докладывает ситуацию.
>>Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет.
>>И Ваши нервы станут мягкие и шелковистые! :)
>
>Если бы юзеры, тож клиенты... :)

Угу, но попробовать вышеописанный способ не помешает. Тут : http://www.opennet.me/base/df/480.txt.html
в деталях и красках... Стиль не хуже в каком был задан вопрос :)


"Сказка про MAC, IP & DHCP"
Отправлено NetKnight , 20-Ноя-03 15:13 
>
>>Ну это я итак знаю, но вопрос другой, как сделать так, чтоб
>>юзера с незарегенным МАКом не пропускало?
>
>>Вообщем я использую пока такой способ, но в нём есть уязвимость:
>>Я жёстко прописал АРП-таблицу и все не задействованые прописал на МАК: 00:00:00:00:00:00.
>>Вроде бы работает, только вот одна проблема - в карточку можно
>>прошить МАК со всеми нулями!
>Гм, дак все нули - это вроде бродкаст??

Никогда не слышел о бродкастовых МАКах :)
Это в TCP/IP технологии.. Она более высокого уровня :)

>>Хотя что мешает и АРП соседа прописать.. :(
>>Наверное сейчас ВПН предлагать начнут :)
>Именно - по другому никак.

Ну ВПН же не настроить так, чтоб юзеру ничего прописывать не приходилось... Сам он же не подымется на его компе.. :)

>>>Тут же другой рукой набивает шефу телегу на юзера, либо просто звонит
>>>шефу и докладывает ситуацию.
>>>Пару-тройку раз так поучить народ уму-разуму - и народ поумнеет.
>>>И Ваши нервы станут мягкие и шелковистые! :)
>>Если бы юзеры, тож клиенты... :)
>Угу, но попробовать вышеописанный способ не помешает. Тут : http://www.opennet.me/base/df/480.txt.html
>в деталях и красках... Стиль не хуже в каком был задан вопрос
>:)

:)


"Сказка про MAC, IP & DHCP"
Отправлено Psy , 20-Ноя-03 11:27 
Вообщем озадачивался я такой же проблемой и пока пришел лишь к такому возможному решению...

IP привязывается к MAC через arp, поэтому взять зарегистрированный IP уже не удастся, если тебе гавное закрыть доступ в нет всем незарегистрированным пользователям, то на этом можно было бы и ограничиться, но постольку поскольку, как я понимаю, задача твоя, чтобы незарегенные ползователи вообще доступа к сети не имели, то есть на мой взгляд только два варианта:
1 записать свободные ip в арпе любыми маками (не нулевыми, разгадать их просто).
2 ограничить сеть согласно количеству зарегистрированных пользователей вот глянь здесь: http://www.opennet.me/openforum/vsluhforumID1/37359.html, то есть смысл в том, что все зарегистрированные ip защищены арпом а других просто нет..