Всем привет!
Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP адресов. Найти его нашли, внушение сделали, но помогает это мало...
Есть ли какая либо возможность запретить такие шалости в сети?
Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое соответсвие порт-мак, то как можно запретить смену IP адреса?
>Всем привет!
>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP
>адресов. Найти его нашли, внушение сделали, но помогает это мало...
>Есть ли какая либо возможность запретить такие шалости в сети?
>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое
>соответсвие порт-мак, то как можно запретить смену IP адреса?Ну привяжи IP к mac
>Всем привет!
>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP
>адресов. Найти его нашли, внушение сделали, но помогает это мало...
>Есть ли какая либо возможность запретить такие шалости в сети?
>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое
>соответсвие порт-мак, то как можно запретить смену IP адреса?Самое простое- это ограничить его в правах штатными средствами операционной системы.
>>Всем привет!
>>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP
>>адресов. Найти его нашли, внушение сделали, но помогает это мало...
>>Есть ли какая либо возможность запретить такие шалости в сети?
>>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое
>>соответсвие порт-мак, то как можно запретить смену IP адреса?
>
>Самое простое- это ограничить его в правах штатными средствами операционной системы.К несчастью это не возможно - по должности он должен иметь права локального админа на машине.
По поводу привязки mac к ip это реализовано на уровне гейта, машины дающей выход в инет и другие подсети, но это не помогает, поскольку для скана, снифа и подмены IP он использует ту же сеть, в которой сидит и сам, следовательно пакеты через гейт не проходят
Ну если его воркстейшн воткнут в управляемый коммутатор, то сделать привязку MAC+IP на порту коммутатора. Если в неуправляемый - то увы.Если человек этим занимается, то ему просто нечем себя занять. Пожаловаться непосредственному начальнику с требованием ущемить его материально (лишить премии, зарплаты). Ну или на крайний случай - "нечаянно и непонятно от чего слетела ОС".
>>>Всем привет!
>>>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP
>>>адресов. Найти его нашли, внушение сделали, но помогает это мало...
>>>Есть ли какая либо возможность запретить такие шалости в сети?
>>>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое
>>>соответсвие порт-мак, то как можно запретить смену IP адреса?
>>
>>Самое простое- это ограничить его в правах штатными средствами операционной системы.
>
>К несчастью это не возможно - по должности он должен иметь права
>локального админа на машине.
>По поводу привязки mac к ip это реализовано на уровне гейта, машины
>дающей выход в инет и другие подсети, но это не помогает,
>поскольку для скана, снифа и подмены IP он использует ту же
>сеть, в которой сидит и сам, следовательно пакеты через гейт не
>проходят
Интересно, что это за должность такая?Вообще, если внушение не помогает - надо гнать поганой метлой.
Согласен также, что человеку нечем заняться на работе и дальше от него следует ждать неприятностей
>>>>Всем привет!
>>>>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP
>>>>адресов. Найти его нашли, внушение сделали, но помогает это мало...
>>>>Есть ли какая либо возможность запретить такие шалости в сети?
>>>>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое
>>>>соответсвие порт-мак, то как можно запретить смену IP адреса?
>>>
>>>Самое простое- это ограничить его в правах штатными средствами операционной системы.
>>
>>К несчастью это не возможно - по должности он должен иметь права
>>локального админа на машине.
>>По поводу привязки mac к ip это реализовано на уровне гейта, машины
>>дающей выход в инет и другие подсети, но это не помогает,
>>поскольку для скана, снифа и подмены IP он использует ту же
>>сеть, в которой сидит и сам, следовательно пакеты через гейт не
>>проходят
>
>
>Интересно, что это за должность такая?
>
>Вообще, если внушение не помогает - надо гнать поганой метлой.
>Согласен также, что человеку нечем заняться на работе и дальше от него
>следует ждать неприятностейДолжность у него интересная - помошник директора по IT, а если точнее, то его родственник
>>>>>Всем привет!
>>>>>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP
>>>>>адресов. Найти его нашли, внушение сделали, но помогает это мало...
>>>>>Есть ли какая либо возможность запретить такие шалости в сети?
>>>>>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое
>>>>>соответсвие порт-мак, то как можно запретить смену IP адреса?
>>>>
>>>>Самое простое- это ограничить его в правах штатными средствами операционной системы.
>>>
>>>К несчастью это не возможно - по должности он должен иметь права
>>>локального админа на машине.
>>>По поводу привязки mac к ip это реализовано на уровне гейта, машины
>>>дающей выход в инет и другие подсети, но это не помогает,
>>>поскольку для скана, снифа и подмены IP он использует ту же
>>>сеть, в которой сидит и сам, следовательно пакеты через гейт не
>>>проходят
>>
>>
>>Интересно, что это за должность такая?
>>
>>Вообще, если внушение не помогает - надо гнать поганой метлой.
>>Согласен также, что человеку нечем заняться на работе и дальше от него
>>следует ждать неприятностей
>
>Должность у него интересная - помошник директора по IT, а если точнее,
>то его родственникПротив лома нет приема если нет другого лома.
Сыграйте по его правилам))тоесть помучайте его ,егоже мотодами))
>>>Всем привет!
>>>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP
>>>адресов. Найти его нашли, внушение сделали, но помогает это мало...
>>>Есть ли какая либо возможность запретить такие шалости в сети?
>>>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое
>>>соответсвие порт-мак, то как можно запретить смену IP адреса?
>>
>>Самое простое- это ограничить его в правах штатными средствами операционной системы.
>
>К несчастью это не возможно - по должности он должен иметь права
>локального админа на машине.
>По поводу привязки mac к ip это реализовано на уровне гейта, машины
>дающей выход в инет и другие подсети, но это не помогает,
>поскольку для скана, снифа и подмены IP он использует ту же
>сеть, в которой сидит и сам, следовательно пакеты через гейт не
>проходятКакие свичи используются?
Сейчас многие оные железки умеют резать трафик - кроме того что покажешь ничего ин не увидит. У цисок называется private vlan, у других производителей тоже есть интересные фичи - traffic segmentation и прочее.
>>>>Всем привет!
>>>>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP
>>>>адресов. Найти его нашли, внушение сделали, но помогает это мало...
>>>>Есть ли какая либо возможность запретить такие шалости в сети?
>>>>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое
>>>>соответсвие порт-мак, то как можно запретить смену IP адреса?
>>>
>>>Самое простое- это ограничить его в правах штатными средствами операционной системы.
>>
>>К несчастью это не возможно - по должности он должен иметь права
>>локального админа на машине.
>>По поводу привязки mac к ip это реализовано на уровне гейта, машины
>>дающей выход в инет и другие подсети, но это не помогает,
>>поскольку для скана, снифа и подмены IP он использует ту же
>>сеть, в которой сидит и сам, следовательно пакеты через гейт не
>>проходят
>
>Какие свичи используются?
>Сейчас многие оные железки умеют резать трафик - кроме того что покажешь
>ничего ин не увидит. У цисок называется private vlan, у других
>производителей тоже есть интересные фичи - traffic segmentation и прочее.
Если есть физический доступ, всё остальное бессильно. Сколько там его IP на каталисте к маку ни привязывай, это всё без толку - подойдёт к свитчу и в другой порт себя воткнёт (вместо кого-нибудь).
Предлагаю разделять доступ к ресурсам посредством VPN (pptpd) - дёшево и сердито, и маконезависимо.
mac p-t-p vlan
Т.е. запереть его в мак влан с гейтвеем...