URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 56589
[ Назад ]

Исходное сообщение
"Веселые соседи :)"

Отправлено Fatal , 19-Май-05 21:33 
Привет всем!!!
На работе появился продвинутый весельчак:
Назначает своей машине какой-нибудь mac-адрес, и присваивает IP-шник сервера (FreeBSD 5.3 - почта, прокси, www, ftp.. и т.п.) тот в свою очередь опускает в DOWN соответствующий интерфейс и.... идут звоки. Сервер находится вне диапазона DHCP. Мне точно известно что это человеческий фактор, даже примерно знаю кто это делает, но доказаь не могу :(

Как сделать так чтобы полюбому интерфейс не падал???
Найду урода, оторву руки, и засуну туда откуда растут ноги :)

Помогите пожалуйста!!!


Содержание

Сообщения в этом обсуждении
"Веселые соседи :)"
Отправлено Dig , 20-Май-05 01:44 
Поставить управляемый свитч layer2 и включить порт секурити


"Веселые соседи :)"
Отправлено Fatal , 20-Май-05 10:52 
Да это что получается? Проблема безопасности во FreeBSD! Если любой урод может назначить себе IP'шник сервера и тот нежно сожит на пол свой интерфейс, дабы благочестивый юзер использовал его IP'шник. Блин!!!

Хотя!!! попытка сэмулировать ситуацию не привела к падению интерфейса! В каком случае интерфейс падает?

Вот последние сообщения перед падением интерфейса:
"
May 19 12:49:53 uran kernel: Limiting closed port RST response from 283 to 200 packets/sec
May 19 14:01:51 uran kernel: arp: 10.200.100.181 moved from 00:04:79:66:69:f6 to 00:11:2f:46:f5:89 on em0
May 19 14:11:41 uran kernel: arp: 10.200.100.181 moved from 00:11:2f:46:f5:89 to 00:04:79:66:69:f6 on em0
May 19 14:13:07 uran kernel: arp: 10.200.100.181 moved from 00:04:79:66:69:f6 to 00:11:2f:46:f5:89 on em0
May 19 14:13:52 uran kernel: arp: 10.200.100.181 moved from 00:11:2f:46:f5:89 to 00:04:79:66:69:f6 on em0
May 19 14:14:33 uran kernel: arp: 10.200.100.181 moved from 00:04:79:66:69:f6 to 00:11:2f:46:f5:89 on em0
May 19 14:23:48 uran kernel: arp: 00:11:2f:46:f5:89 is using my IP address 10.200.0.5!
May 19 14:23:53 uran last message repeated 4 times
May 19 14:23:54 uran kernel: arp: 10.200.100.181 moved from 00:11:2f:46:f5:89 to 00:04:79:66:69:f6 on em0
May 19 14:23:55 uran kernel: arp: 00:11:2f:46:f5:89 is using my IP address 10.200.0.5!
May 19 14:24:26 uran last message repeated 11 times
May 19 14:26:20 uran last message repeated 5 times
May 19 14:31:11 uran login: ROOT LOGIN (root) ON ttyv0
"

Вот я пытался сэмулировать:
"
May 19 18:01:29 uran su: xxx to root on /dev/ttyp0
May 19 18:19:12 uran kernel: arp: 00:11:d8:59:b0:f6 is using my IP address 10.200.0.5!
May 19 18:19:18 uran kernel: arp: 00:11:d8:59:b0:f6 is using my IP address 10.200.0.5!
May 19 18:29:42 uran kernel: arplookup 0.0.0.0 failed: host is not on local network
May 19 18:30:27 uran kernel: arplookup 0.0.0.0 failed: host is not on local network
May 19 18:31:24 uran su: xxx to root on /dev/ttyp0
"

В чем разница? Почему во втором случае интерфейс не упал? Как это можно сэмулировать?

ПОМОГИТЕ ПОЖАЛУЙСТА!!!


"Веселые соседи :)"
Отправлено Den , 20-Май-05 11:59 
> Да это что получается? Проблема безопасности во FreeBSD! Если любой урод > может назначить себе IP'шник сервера и тот нежно сожит на пол свой >интерфейс, дабы благочестивый юзер использовал его IP'шник. Блин!!!

Эт проблема безопасности ethernet а не freebsd


"Веселые соседи :)"
Отправлено Fatal , 20-Май-05 14:02 
В чем разница? Почему во втором случае интерфейс не упал? Как это можно сэмулировать?

"Веселые соседи :)"
Отправлено Cepreu , 20-Май-05 14:05 
А у тебя сетку никто кольцом не замыкает случайно?
Особенно если на серваке 2 сетевые.


"Веселые соседи :)"
Отправлено Cepreu , 20-Май-05 14:38 
Я понял!!! На этом форуме живут специальные сонные люди. Они выходят в интернет по минуте, ч/з каждые пол-часа. И ещё они очень медленно думают. Даже не думают, рассуждают.



"Веселые соседи :)"
Отправлено MoHaX , 20-Май-05 15:04 
Да........... Мы такие............ ;)
Может у тебя винда не та.... А может и не винда вовсе у твоего соседа.... Если хотишь безопастноти и стабильности ставь управляеммые свитчи....

"Веселые соседи :)"
Отправлено Fatal , 20-Май-05 15:29 
Так, люди, идите ругайтесь в др. ветке форума!!!!
У меня реальный вопрос, на который я жду ответ!
>В чем разница? Почему во втором случае интерфейс не упал? Как это
>можно сэмулировать?



"Веселые соседи :)"
Отправлено Cepreu , 20-Май-05 15:35 
Вы, просто юзерам руки отрежьте... В смыле запретите трогать настройки. Не на словах, я имею ввиду. Чего мучаться-то? А сэмулировать... Ну, батенька, какие же в пятницу вечером эмуляции? Да и в понедельник занятие на утро будет. За выходные придумаете что-нибудь. А может и кто-нить подскажет в понедельник со свежей головы. Только ветку поднимите и начнётся..



"Веселые соседи :)"
Отправлено LuckyBird , 20-Май-05 15:47 
Так а смысл - даже если интерфейс не упадёт,  у тебя всё равно проблемы начнутся с пакетами.
1) Если у тебя стоит домен, дать всем права обычного пользователя.
2) Выяснить по ip сетевое имя, убедиться в том кто это и отключить от сети
3) Управляемый свитч


"Веселые соседи :)"
Отправлено Cepreu , 20-Май-05 15:48 
>2) Выяснить по ip сетевое имя, убедиться в том кто это и
>отключить от сети
+ морду набить. А руки все-таки оторвать. Чтоб слачи не дал.


"Веселые соседи :)"
Отправлено Fatal , 20-Май-05 15:52 
Это не юзеры делают!!!
Другие сисадмины, у них приколы такие!
Мой сервак воткнут в коммутатор, cisco 3750 может на нем как-то можно обезопасится? Дело еще в том что есть у них возможность проделывать те-же операции на др. свиче находящемся в моем VLAN'e к которому у меня доступа нет...

Нехотят они со мной дружить. Они здесь полностью всё разделяли и властвовали до тех пор пока я не пришел. Теперь я у них как заноза в ж..е, выгнал их полностью из своего сегмента сети! Вот теперь и гадят по мелочи :)


"Веселые соседи :)"
Отправлено Grey , 20-Май-05 16:11 
>Это не юзеры делают!!!
>Другие сисадмины, у них приколы такие!
>Мой сервак воткнут в коммутатор, cisco 3750 может на нем как-то можно
>обезопасится? Дело еще в том что есть у них возможность проделывать
>те-же операции на др. свиче находящемся в моем VLAN'e к которому
>у меня доступа нет...
>
>Нехотят они со мной дружить. Они здесь полностью всё разделяли и властвовали
>до тех пор пока я не пришел. Теперь я у них
>как заноза в ж..е, выгнал их полностью из своего сегмента сети!
>Вот теперь и гадят по мелочи :)

arpwatch не пробовал?


"Веселые соседи :)"
Отправлено Fatal , 20-Май-05 16:18 
> arpwatch не пробовал?

Попробую....



"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Pasha , 20-Май-05 16:28 
противном случае они тебе жить спокойно не дадут. Ведь железо не в твоей власти. Это скорей задачка из области социологии, психологии и административного управления, чем техническая. Хотя, если разведешь боссов на железо, которое будешь контролировать самолично(маршрутизаторы, свичи), то можешь и повоевать.

"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Fatal , 20-Май-05 16:35 
А на моей cisco3750 можно что-то сделать?



"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Pasha , 20-Май-05 16:42 
Если они могут подменить МАС адрес, думаю твоя киска здесь погоды не делает. У них есть возможность подключаться к твоему Ethernet-сегменту, чем и обуславливается подмена МАС-а. Ты же сам говорил, что VLAN-ы контролируются не тобой. Кстати, странная у вас топология. Не могу себе ее представить, может прояснишь?



"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Fatal , 20-Май-05 16:59 
>Если они могут подменить МАС адрес, думаю твоя киска здесь погоды не
>делает. У них есть возможность подключаться к твоему Ethernet-сегменту, чем и
>обуславливается подмена МАС-а. Ты же сам говорил, что VLAN-ы контролируются не
>тобой. Кстати, странная у вас топология. Не могу себе ее представить,
>может прояснишь?

Да вот есть соседи (Оорганизация), их админы раньше отвечали за свою сетку и сетку нашей организации, сетки связаны, используются общие ресурсы. С недавних пор работаю я, а админы были выпинаны отсюда с треском в свою контору (на уровне начальства), я отвечаю за наш сегмент сети, но дело в том, что router VLAN'ов находится в их здании, принадлежит им, и они творят что хотят. Я один а их целый отдел! И кто там гадит я не знаю! :(

А вот когда узнаю... ей богу морду разобью за такое Ж:-(


"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Pasha , 20-Май-05 17:14 
>но дело в том, что router VLAN'ов находится в их здании,
Бр-р-р-р. Давай на пальцах:
1. У тебя свой сегмент Ethernet, который связан с "их" сегментами обычной витой парой.
2. У "них" Ethernet сегментирован посредством VLAN-ов.
3. У тебя еще киска стоит

Вопрос - а киска-то для чего? Зачем тебе маршрутизатор еще? Куда он "смотрит"?


"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Fatal , 20-Май-05 17:16 
Коммутатор :)
Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN



"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Pasha , 20-Май-05 17:26 
>Коммутатор :)
>Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN
Сори! Не посмотрел модельный ряд. Коммутаторы Cisco - дорогое удовольствие, и с моей точки зрения экономически не целесообразные. Но это IMHO. Сейчас посмотрим что он может еще кроме VLAN-ов... Такс... Он у тебя случаем в стек с их коммутаторами по аплинкам не завязан?


"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Pasha , 20-Май-05 17:43 
>Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN
Ну если бразды правления этим свичем у тебя в руках, то читай документацию и выставляй правила для своих uplink-портов. Свич, судя по документации много чего умеет. Запрети прохождение через аплинк МАС-адреса своего сервака извне. Как это сделать на этой модели я тебе не скажу, но в документации должно быть.



"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Fatal , 20-Май-05 17:48 
Ок.
Попробую.



"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено ids , 20-Май-05 17:54 
>>Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN
>Ну если бразды правления этим свичем у тебя в руках, то читай
>документацию и выставляй правила для своих uplink-портов. Свич, судя по документации
>много чего умеет. Запрети прохождение через аплинк МАС-адреса своего сервака извне.
>Как это сделать на этой модели я тебе не скажу, но
>в документации должно быть.


В конференцию рядом дуй, там помогут.


"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Pasha , 20-Май-05 17:53 
>Коммутатор :)
>Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN

Кстати, он у тебя еще и Layer 3 поддерживает! Так что можешь разруливать еще и IP-протокол на этом железе. Срочно иди читай документацию, там все написано! Кста, проверь свои машины на троянов, а то "те" админы настроены сурьезно и без боя сдаваться не будут. Так что знание с тонкостях своего "железа" и архитектуры сети - твой шанс выжить в нелегкой борьбе. Ведь на карту поставлен твой профессионализм. :) Да, и еще, ты случаем не реальные айпишники и названия серверов в логах привел?


"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Fatal , 20-Май-05 17:55 
А ты где читаешь документацию по нему?



"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Pasha , 20-Май-05 18:00 
>А ты где читаешь документацию по нему?

http://www.cisco.com/en/US/products/hw/switches/ps5023/prod_...


"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Fatal , 20-Май-05 18:03 
>>А ты где читаешь документацию по нему?
>
>http://www.cisco.com/en/US/products/hw/switches/ps5023/prod_...


Ок. Спасиба, я тамже... :)


"Проще поставить ребятам ящик пива и дружить семьями, в "
Отправлено Fatal , 20-Май-05 18:08 
Cпасибо огромное за помощь!!! ВСЕМ!!!

Буду сидеть, курить, читать доку.... вечер длинный :)

Завтра грёбаная дача Ж) перекопка грядок.... чтоб она сгорела )))