здраствуйте всем! может быть кто подскажет в какую сторону смотреть,,?? есть локальная сеть более 150ПК! есть dhcp сервер который выдает ip адреса по mac-адресам! вопрос! могу ли я каким бы тонибыло способом обезопасить себя от клиентов самолично воткнувшихся в сеть и ручками поставившие себе ip адрес! то есть если пара mac-ip не встречается (например dhcp завязан на ldap) то трафик полностью блокируется к данному клиенту! или же его в какой-нибудь отдельный vlan запихнуть,,???
>здраствуйте всем! может быть кто подскажет в какую сторону смотреть,,?? есть локальная
>сеть более 150ПК! есть dhcp сервер который выдает ip адреса по
>mac-адресам! вопрос! могу ли я каким бы тонибыло способом обезопасить
>себя от клиентов самолично воткнувшихся в сеть и ручками поставившие себе
>ip адрес! то есть если пара mac-ip не встречается (например dhcp
>завязан на ldap) то трафик полностью блокируется к данному клиенту! или
>же его в какой-нибудь отдельный vlan запихнуть,,???только если свич это умеет
От смены только ip защитится элементарно, но вот только ничто не помешает менять одновременно mac+ip и для этого не нужно быть семи пядей во лбу, а просто запустить какую-нибудь кулхацкерскую программу под винду. Так что только умный свитч.
> какую-нибудь кулхацкерскую программу под винду.Какую хоть программу - попинговал соседа, посмотрел свою arp таблицу, сосед ушёл - присваиваешь своему хосту.
> Так что только умный свитч.
Это да.
>здраствуйте всем! может быть кто подскажет в какую сторону смотреть,,?? есть локальная
>сеть более 150ПК! есть dhcp сервер который выдает ip адреса по
>mac-адресам! вопрос! могу ли я каким бы тонибыло способом обезопасить
>себя от клиентов самолично воткнувшихся в сеть и ручками поставившие себе
>ip адрес! то есть если пара mac-ip не встречается (например dhcp
>завязан на ldap) то трафик полностью блокируется к данному клиенту! или
>же его в какой-нибудь отдельный vlan запихнуть,,???умные свичи и 802.1x спасут отца русской демократии.
>умные свичи и 802.1x спасут отца русской демократии.LOL
>здраствуйте всем! может быть кто подскажет в какую сторону смотреть,,?? есть локальная
>сеть более 150ПК! есть dhcp сервер который выдает ip адреса по
>mac-адресам! вопрос! могу ли я каким бы тонибыло способом обезопасить
>себя от клиентов самолично воткнувшихся в сеть и ручками поставившие себе
>ip адрес! то есть если пара mac-ip не встречается (например dhcp
>завязан на ldap) то трафик полностью блокируется к данному клиенту! или
>же его в какой-нибудь отдельный vlan запихнуть,,???коммутатор с поддержкой DHCP snooping - коммутатор по выданному по DHCP IP-адресу создаст ACL на порту клиента проверяющий связку IP и MAC. все остальный IP и ARP пакеты будут убиваться.
>здраствуйте всем! может быть кто подскажет в какую сторону смотреть,,?? есть локальная
>сеть более 150ПК! есть dhcp сервер который выдает ip адреса по
>mac-адресам! вопрос! могу ли я каким бы тонибыло способом обезопасить
>себя от клиентов самолично воткнувшихся в сеть и ручками поставившие себе
>ip адрес! то есть если пара mac-ip не встречается (например dhcp
>завязан на ldap) то трафик полностью блокируется к данному клиенту! или
>же его в какой-нибудь отдельный vlan запихнуть,,???Програмными средствами если линукс то ip-sentinel
если опёнок или фря то ipguard
Управляемый L2-коммутатор.Многие модели умеют MAC-аутентификацию делать ч-з RADIUS. А так: 802.1х в идеале лучше всего, или:
- зажать MAC-адрес на порту коммутатора,
- ограничить количество маков до 1 (в случае необходимого одного мака, или сколько маков необходимо),
- настроить отключение порта административно в случае смены мака,
- настроить по SNMP-сбор таких событий.Ну вот такое в идеале обеспечит всю необходимую гибкость и удобство+необходимую защиту.