URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1317
[ Назад ]

Исходное сообщение
"MAC-IP,ARPWATCH ......."
Отправлено shaman237 , 26-Апр-04 20:21

Просмотрел форум, вопросы похожие были, но не совсем. Ситуация следующая:
сервер под FreeBSD 5.2, поднят dhcp (выдает адреса прописанным по MAC'у из диапазона 192.168.0.1-192.168.0.100, конкретному МАКу конкретный IP и всем непрописанным пользователям из диапазона 192.168.0.200-192.168.0.240). У многих из первого диапазона(.1-.100) есть полный доступ к серверу(games+mail+other). Т.е. в отсутствие 192.168.0.1, который имеет доступ к серверу, любой желающий может ручками поставить его IP и попользоваться сервером. Естесственный вопрос: как избежать подобного? Появилась идея парсить сообщения от arpwatch'а и в подобных случаях отрезать MAC в ipfw. Правильно ли мыслю? Может готовые решения есть? Заранее всем спасибо за возможную дискуссию :)

Содержание

MAC-IP,ARPWATCH .......,fantom, 10:24 , 27-Апр-04
- MAC-IP,ARPWATCH .......,shaman237, 10:33 , 27-Апр-04
  - MAC-IP,ARPWATCH .......,Zorro, 03:29 , 28-Апр-04

Сообщения в этом обсуждении

"MAC-IP,ARPWATCH ......."
Отправлено fantom , 27-Апр-04 10:24

>Просмотрел форум, вопросы похожие были, но не совсем. Ситуация следующая:
>сервер под FreeBSD 5.2, поднят dhcp (выдает адреса прописанным по MAC'у из
>диапазона 192.168.0.1-192.168.0.100, конкретному МАКу конкретный IP и всем непрописанным пользователям из
>диапазона 192.168.0.200-192.168.0.240). У многих из первого диапазона(.1-.100) есть полный доступ к
>серверу(games+mail+other). Т.е. в отсутствие 192.168.0.1, который имеет доступ к серверу, любой
>желающий может ручками поставить его IP и попользоваться сервером. Естесственный вопрос:
>как избежать подобного? Появилась идея парсить сообщения от arpwatch'а и в
>подобных случаях отрезать MAC в ipfw. Правильно ли мыслю? Может готовые
>решения есть? Заранее всем спасибо за возможную дискуссию :)
Если хватает мозгов поменять IP то очень быстро догадаются поменять и MAC!
1. Можно жестко привязать MAC к IP (не спасает от подмены MAC-а)
2. Авторизация - т.е. доступ к ресурсу по логину - паролю. (Всякие нехорошие люди пароли запросто разглашают)
3. поставить свич, кот позволяет жестко прописывать какой мас на каком порту пускать. при замене мас пользователь вообще никуда не выйдет.

"MAC-IP,ARPWATCH ......."
Отправлено shaman237 , 27-Апр-04 10:33

>Если хватает мозгов поменять IP то очень быстро догадаются поменять и MAC!
>1. Можно жестко привязать MAC к IP (не спасает от подмены
>MAC-а)
>2. Авторизация - т.е. доступ к ресурсу по логину - паролю. (Всякие
>нехорошие люди пароли запросто разглашают)
>3. поставить свич, кот позволяет жестко прописывать какой мас на каком порту
>пускать. при замене мас пользователь вообще никуда не выйдет.
1. Мозгов точно не хватит - народ боится сам [оффтопик] переставлять (:
2. Авторизация: каким образом производить авторизацию в определенной игре?
3. На "умный" свич денег не хватает ровно полбакса ;)

"MAC-IP,ARPWATCH ......."
Отправлено Zorro , 28-Апр-04 03:29

>>Если хватает мозгов поменять IP то очень быстро догадаются поменять и MAC!
>>1. Можно жестко привязать MAC к IP (не спасает от подмены
>>MAC-а)
>>2. Авторизация - т.е. доступ к ресурсу по логину - паролю. (Всякие
>>нехорошие люди пароли запросто разглашают)
>>3. поставить свич, кот позволяет жестко прописывать какой мас на каком порту
>>пускать. при замене мас пользователь вообще никуда не выйдет.
>
>1. Мозгов точно не хватит - народ боится сам [оффтопик] переставлять (:
>
>2. Авторизация: каким образом производить авторизацию в определенной игре?
>3. На "умный" свич денег не хватает ровно полбакса ;)
Ну подумаешь пива не попьешь денёк вот тебе и пол бакса ... ;-)))
А кроме как по свичу ты никак не закроишь.. и то нужно свич под амбарный замок что бы не перетыкали кабели.. ;-)))