Я идентифицирую компьютеры по mac (пользуюсь iptables), однако многие умеют перенастраивать свои сетевые карты и воруют чужой трафик. Как еще можно идентифицировать компьютер?Можно ли это сделать не устанавливая дополнительных программ на клиентские компьютеры? - В принципе, достаточно фиксировать только факты подмен, чтобы можно было вовремя сбросить доступный этому компьютеру трафик.
Заранее спасибо.
смотри по лампочкам на свитче, а вобще, подымай VPN
>смотри по лампочкам на свитче, а вобще, подымай VPNух, у меня ~ 200 компьютеров, ну и лампочек тоже много ;)
А бываю какие-нибудь управляемые коммутаторы, где для каждой дырки можно было бы установить ip? Может быть что-нть порекомендуете?
можно узнать смысл идентификации 200 компов по макам? :))
>можно узнать смысл идентификации 200 компов по макам? :))Можно, конечно. На всю сеть выделяется 25 GB трафика в месяц, каждое утро отстаток трафика поделенный на количество дней до конца учетного периода раздается компьютерам в соответствии с табличкой "весов" этих компьютеров. Ну, и соответственно, компьютеры идентифицируются их MAC.
А как нужно их идентифицировать?
При доверительном отношении пользователей друг к другу такая схема будет работать надежно, однако когда пользователей становится много, некоторые из них, например, сидящие в недоступных мне комнатах, могут менять свои адреса как им вздумается, воруя лишний трафик у всей сети.
В принципе, избежать этого можно сегментацией сети управляемыми коммутаторами, как я теперь понимаю.
Насчет vpn - кроме расшифровки этого акронима ничего не знаю. Буду изучать...
погляди в сторону arpwatch , darpwatch
http://www.opennet.me/prog/info/705.shtml
http://sourceforge.net/projects/darpwatch
>погляди в сторону arpwatch , darpwatch
>http://www.opennet.me/prog/info/705.shtml
>http://sourceforge.net/projects/darpwatcharpwatch тут бесмысленно использовать. если пользователь поменяет мак в месте с ip то он будет молчать.
решение - это vpn (лучше всего имхо) + есть достаточно недорогие свитчи, которые умеют на обпределенный порт пускать только определенный мак адрес (например: http://lightcom.ru/production/ethernetswitches.asp )
>решение - это vpn (лучше всего имхо) + есть достаточно недорогие свитчи,
>которые умеют на обпределенный порт пускать только определенный мак адресА какой тип vpn посоветуете использовать в моем случае?
В принципе, мне нужно считать израсходованный каждым компьютером трафик, ну и вовремя закрывать доступ тем кто этот трафик израсходовал. Вот пожалуй и все задачи.
>А какой тип vpn посоветуете использовать в моем случае?
>
>В принципе, мне нужно считать израсходованный каждым компьютером трафик, ну >и вовремя
>закрывать доступ тем кто этот трафик израсходовал. Вот пожалуй и все
>задачи.Посмотри здесь http://nibs.net.ua
1) замути схему:
на серваке база с привязками МАКи_ИПы,
каждое утро произвольно генерятся МАКи (привязки переписываются)
на клиентах каждое утро подтягиваются и прописываются новые (по ИП)...
добрые хакеры задолбаются подбирать..запарочно только на первый взгляд :)
2) pppoe
>1) замути схему:
>на серваке база с привязками МАКи_ИПы,
>каждое утро произвольно генерятся МАКи (привязки переписываются)
>на клиентах каждое утро подтягиваются и прописываются новые (по ИП)...
>добрые хакеры задолбаются подбирать..
>
>запарочно только на первый взгляд :)
>
>2) pppoe
>на серваке база с привязками МАКи_ИПы,
>каждое утро произвольно генерятся МАКи (привязки переписываются)
>на клиентах каждое утро подтягиваются и прописываются новые (по ИП)...
>добрые хакеры задолбаются подбирать..Ну почему же задолбаются?
ping, arp, и вот вам список mac адресов, кажется
контроль доступа на основе MAC + Коммутаторы (те же Dlink Des 3xxx или тяжелая артилерия в лице CISCO Catalyst) c portsecurity по МАС. Забиваешь на каждом порту какие маки имеют доступ.
Если хочется еще сложностей прикручиваешь авторизацию на radius при доступе в сеть. Еще сложнее - как уже говорилось VPN для выхода в инет + все выше перечисленное.
Зы, а если народ умеет менять маки - то нечего давать им права админов на локальных машинах.