URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23524
[ Назад ]

Исходное сообщение
"прявязка ip адреса к mac адресу"

Отправлено axa_iwt , 13-Фев-12 15:34 
Добрый день! Мне дали задачу во всех офисах нашей организации, привязать ip адрес оборудования к его физическому адресу. Это нужно что бы без ведома системного администратора пользователи не подключали к сети своё оборудование(ноутбуки и т.д.)
эту задачу я решил следующим образом:

arp 192.168.1.10 001b.2183.e878 ARPA
arp 192.168.1.20 001a.4dfb.7464 ARPA
arp 192.168.1.30 6cf0.49cb.e86c ARPA

interface FastEthernet0/0
description *** LocalNET ***
ip address 192.168.1.1 255.255.255.0
arp authorized

всё отлично работает и не возможно подключить к сети новое оборудование как и планировалось, НО спустя энное время все компы пропадают пока на локальном интерфейсе не отключу арп авторизацию.

DO1(config-if)#no arp authorized

подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала.


Содержание

Сообщения в этом обсуждении
"прявязка ip адреса к mac адресу"
Отправлено Square , 13-Фев-12 15:49 
> всё отлично работает и не возможно подключить к сети новое оборудование как
> и планировалось,

Вы в курсе что МАС адрес меняется произвольным образом? Человек приходит со своим ноутбуком, выставляет на нем мак+ип рабочего компа- и он в сети.

Судя по всему - нет. Ваша защита рухнет как только кто-то из сотрудников(случайных посетителей) вобъет в поисковике фразу "обойти привязку MAC к IP" и прочтет коментарии к такому способу защиты.

Судя по тому, что вам такую задачу поставило начальство - оно тоже не интересовалось насколько ЭЛЕМЕНТАРНО рушиться такая защита...


"прявязка ip адреса к mac адресу"
Отправлено axa_iwt , 14-Фев-12 09:27 
>> всё отлично работает и не возможно подключить к сети новое оборудование как
>> и планировалось,
> Вы в курсе что МАС адрес меняется произвольным образом? Человек приходит со
> своим ноутбуком, выставляет на нем мак+ип рабочего компа- и он в
> сети.
> Судя по всему - нет. Ваша защита рухнет как только кто-то из
> сотрудников(случайных посетителей) вобъет в поисковике фразу "обойти привязку MAC к IP"
> и прочтет коментарии к такому способу защиты.
> Судя по тому, что вам такую задачу поставило начальство - оно тоже
> не интересовалось насколько ЭЛЕМЕНТАРНО рушиться такая защита...

это один из многих способов защиты. Т.к. обычные пользователи мало знакомы с IT это помогает. ну как же всё таки решить проблему с отключением?


"прявязка ip адреса к mac адресу"
Отправлено Zl0 , 13-Фев-12 17:04 
>[оверквотинг удален]
> arp 192.168.1.30 6cf0.49cb.e86c ARPA
> interface FastEthernet0/0
>  description *** LocalNET ***
>  ip address 192.168.1.1 255.255.255.0
>  arp authorized
> всё отлично работает и не возможно подключить к сети новое оборудование как
> и планировалось, НО спустя энное время все компы пропадают пока на
> локальном интерфейсе не отключу арп авторизацию.
> DO1(config-if)#no arp authorized
> подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала.

Два за решение задачи, такую защиту не делают уже лет так эдак 10. Используйте  802.1x или на худой конец VPN.


"прявязка ip адреса к mac адресу"
Отправлено VolanD , 14-Фев-12 07:56 
>[оверквотинг удален]
>>  description *** LocalNET ***
>>  ip address 192.168.1.1 255.255.255.0
>>  arp authorized
>> всё отлично работает и не возможно подключить к сети новое оборудование как
>> и планировалось, НО спустя энное время все компы пропадают пока на
>> локальном интерфейсе не отключу арп авторизацию.
>> DO1(config-if)#no arp authorized
>> подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала.
> Два за решение задачи, такую защиту не делают уже лет так эдак
> 10. Используйте  802.1x или на худой конец VPN.

А в этом случае пользователь не сможет подключить другой девайс? И ,кстати, нормальноя поддержка дот1х в семействе виндовсов появилась только в Вин7


"прявязка ip адреса к mac адресу"
Отправлено alexmasz , 13-Фев-12 21:27 
> подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала.

может быть static-dhcp + am, binding arp?


"прявязка ip адреса к mac адресу"
Отправлено eek , 14-Фев-12 07:17 
> Это нужно что бы без
> ведома системного администратора пользователи
> не подключали к сети своё оборудование(ноутбуки
> и т.д.)

Чтобы пользователи не подключали свое оборудование к сети не используемые порты коммутаторов должны быть выключены и на всех аксесовых портах пользователей включить port-security.

Чтобы пользователи не менял ip адреса на машинах нужно использовать групповые политики и резервирование ip адресов.

Ну и наконец третье. Если сотрудники массово прут на работу железо из дома нужно задуматься почему это происходит, может не ту проблему пытаетесь лечить?

Как уже писали коллеги выше 802.1х является решением задачи авторизации. Вот только как правило реальная эксплуатация сводиться к тому, что пароли либо вбиты железно, либо записаны на бумажке которая лежит на столе. Опять же это решения не для меленькой конторы потому что если лежит радиус = сети нет :) Ну и потом неизвестно какой зоопарк железа у вас стоит и есть ли там поддержка 802.1х. Кроме всего прочего развертывание такой системы требует знаний и порядка от самого тех. персонала. Чего в реальных условиях как правило тоже нет.


"прявязка ip адреса к mac адресу"
Отправлено axa_iwt , 14-Фев-12 09:39 

>Кроме всего
> прочего развертывание такой системы требует знаний и порядка от самого тех.
> персонала. Чего в реальных условиях как правило тоже нет.

спасибо всем за советы, учту.


"прявязка ip адреса к mac адресу"
Отправлено Николай_kv , 14-Фев-12 10:58 
>>Кроме всего
>> прочего развертывание такой системы требует знаний и порядка от самого тех.
>> персонала. Чего в реальных условиях как правило тоже нет.
> спасибо всем за советы, учту.

Смотрите с сторону 802.1x


"прявязка ip адреса к mac адресу"
Отправлено Pve1 , 15-Фев-12 12:58 
Полноценное решение - только 802.1

Если домен-контроллер в офисе есть - то поднять 1 дополнительную роль на нем - не большая проблема. А с вышедшим из троя домен-контроллером в любом случае не сможете.

Так же рекомендую почитать про:
ip dhcp snooping
ip source guard
ip arp inspection