Как можно не допустить подмену IP адреса на чужой машине? Раньше эта проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через arp -s, но теперь встретился с фактом, что можно на некоторых картах прямо в их настройках вручную изменять MAC. Можно ли как-либо ещё что-то сделать, чтобы избежать такого проникновения?
Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC. То есть карточка привязана к порту. Это могут Cisco Catalyst. Про остальных вендоров не в курсе.>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC.
>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про
>остальных вендоров не в курсе.
>Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно допустить, что на каком-либо свиче в то время, пока реальный хозяин отсутствует, может быть произведёно нелегальное подключение в тот же порт. Как я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку идентифицироваться под другим именем.
Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.
Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка иного мака уже идёт програмно. Вот и призадумался, можно ли получить "реальный" адрес сетевой в обход программному?
>>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC.
>>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про
>>остальных вендоров не в курсе.
>>
>
>Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое
>пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно
>допустить, что на каком-либо свиче в то время, пока реальный хозяин
>отсутствует, может быть произведёно нелегальное подключение в тот же порт.Общие мысли:
Если клиент имеет возможность изменять физическую структуру сети (т.е. грубо говоря отключиться от одного порта такого "умного" свича и подсоединиться к другому с подменой mac адреса сетевой карты), то единственный на мой взгяд выход, который обеспечивает достаточную надежность - это аутентификация клиента при подключении.
После аутентификации выдать ему определенный IP, и на его основе биллинговать клиента в течении сесии. Другие варианты в исходных условиях задачи по моему не применимы (хотя может быть я их просто не вижу).
Общий ход мысли прост - если клиент может менять все исходные условия задачи (mac, ip, место подключения в физической структуре сети), то нет возможности опираться на эти изначально ненадежные параметры, и единственная возможность достоверно определить клиента - старый дедовский способ - логин+пароль.
В результате вырисовывается хорошо известный механизм AAA - Authentication (опознавание клиента - в простейшем случае опять же логин+пароль), Authorizatition (назначение клиенту ресурсов/параметров соединения, которые он может использовать - в частности IP), Accounting (подсчет ресурсов, использованных клиентом, на основании выданных ему параметров соединения - в частности на основании выданного IP)
Как
>я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку
>идентифицироваться под другим именем.
>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.
>Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка
>иного мака уже идёт програмно. Вот и призадумался, можно ли получить
>"реальный" адрес сетевой в обход программному?
>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.Как вариант можно подключить аутентификацию через squid, socks прокси или активировать подключение по PPPOE или PPTP. Тогла о MAC и IP можно не беспокоится, но вылазит другая проблема - как предотвратить перехват пароля пользовтеля.
1. Перехват на машине пользователя, путем раскопки его локальных файлов содержащих запомненный пароль или установки перехватчика вводимых с клавиатуры символов. Как решение - жесткое паролирование машин пользователей.
2. Перехват сниффером. Решается подключением через IPSEC или PPTP, но если машин много -это не совсем эффективно и излишне ресурсоемко. Подключать каждую машину к свичу, тоже не выход - появислоь куча снифферов, которые и при подключении к свичу все что угодно заснифят, путем той же подмены MAC адреса и введения свича в заблуждение - в итоге опять пришли от чего отталкивались - привязка MAC к порту свича.> Вот и призадумался, можно ли получить
>"реальный" адрес сетевой в обход программному?Думаю, что нет.
Пример фильтрации по MAC адресу для свичей Cisco Catalyst.Привязка к MAC адресу:
mac-address-table secure <mac> <port> [vlan N]
Пример: mac-address-table secure 0007.0eaa.3f10 FastEthernet0/1
(См. также mac-address-table static ...)Посмотреть таблицу MAC адресов можно через:
sh mac-address-tableПочистить таблицу MAC адресов:
clear mac-address-table
Ограничение числа MAC-адресов:
interface FastEthernet0/1
port security max-mac-count 1
port security action <trap|shutdown>trap - генерировать трап при превышении max-mac-count
shutdown - гасить интрефейс при превышении max-mac-countЗащита от флуда (ограничение большого числа broadcast, unicast или multicast пакетов):
interface FastEthernet0/1
port block multicast
port block unicast
port storm-control broadcast
port storm-control trapПросмотр:
show port storm-control
show port block
Кстати, самый простой и дейтсвенный способ я забыл упомянуть: Прокидываем vlan до ближайшего рутера, а там просто не пропускаем во вне ничеко кроме положенного IP. Недостаток метода: нужен достаточно мощный маршрутизатор.
На своей машине юзер прописывает ip 192.168.1.10, ip шлюза 192.168.1.9):
На свиче (Cisco Catalyst):
interface VLAN1
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
no ip route-cacheinterface FastEthernet0/1
switchport access vlan 2На рутере (тоже Cisco):
interface FastEthernet0/0.1
encapsulation dot1Q 2
ip address 192.168.1.9 255.255.255.252
ip access-group user2-in in
ip access-group user2-out outip access-list extended user2-in
permit ip 192.168.1.8 0.0.0.3 any
deny ip any any
ip access-list extended user2-out
permit ip any 192.168.1.8 0.0.0.3
deny ip any any log
VPN
>VPN
Чуть подробнее можно?
Просто не знаю, где в Virtual Private Network можно не допустить подмены IP?
>>VPN
>Чуть подробнее можно?
>Просто не знаю, где в Virtual Private Network можно не допустить подмены
>IP?Не надо опираться на IP ... И на MAC .. По протоколу VPN происходит авторизация клиента в сети и создается частное соеденение .. То есть я могу прийти к другу и посидеть у него, за свой счет Ж)
>Кстати, самый простой и дейтсвенный способ я забыл упомянуть: Прокидываем vlan до
>ближайшего рутера, а там просто не пропускаем во вне ничеко кроме
>положенного IP. Недостаток метода: нужен достаточно мощный маршрутизатор.
Это верно, но можно и Unix машину с поддержкой VLAN, и сделать тоже самое на РС. :)
У нас в домашней сети тоже люди есть которые умеют МАС Адрес менять. Одна половина из них это администраторы, другая их друзья ... :).Вобщем у нас Админы сделали так ... Логин привязали к IP, IP привязали к МАС адресу. Все со своими логинами и паролями с помощью Secure CRT по протоколу SSH2 конектятся на шлюз, а там добавляется правило в фаерволе которое пускает на время открытой сесии в интернет. И они считают что свой пароль ты должен охранять сам, т.е. если похерил свой пароль, то сам виноват.
>т.е. если похерил свой пароль, то сам виноват.ага,
из-под W'98 не входить,
из-под NT входить - а впрочем тоже:
можно запустить программулину которая запоминает в каком приложении какие клавиши нажимались :)
Ага, половина в сети админы, вторая - друзья, а с кого тогда деньги брать? Довольно неудобный способ. pptp проще, многоплатформенный и народ простой к нему быстро привыкает - очень уж на модем похоже.
может частично сможети помочь arpwatch - если чел не додумается вырубить сетевуху, то есть возможность засечь смену ip/macА вообще, имхо, самый реальный подход - конект через ssh к роутеру, как это описано в handsbook - http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/op....
>может частично сможети помочь arpwatchВ том то и дело, что проблема решается лишь частично, через грамотную организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
Но если пользователь поменяет MAC и IP адреса на MAC и IP соседа, у которого выключена машина, то arpwatch технология не обнаружит такую подмену. Если нужно просто отследить попытки самовольной смены/присвоения IP адресов - то arpwatch (http://online.securityfocus.com/tools/142) весьма неплохое решение.PS. Недавно натолкнулся на новую, весьма интересную, систему мониторинга http://www.conostix.com/ipfc/
>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и к тому же слишком ресурсоемко. Выход в IPSEC или PPTP.
У нас это организовано так:
Есть DHCP сервер,
он при включении машины отдает тебе фейковый адрес,
Затем, ты по VPN'у подключаешься к серверу(с помощью логина\пароля), который проверяет
с помощью Radius'a пускать\не пускать....работало даже на P1 2x133...
и сети на 30 машин....
>У нас это организовано так:
>Есть DHCP сервер,
>он при включении машины отдает тебе фейковый адрес,
>Затем, ты по VPN'у подключаешься к серверу(с помощью логина\пароля), который проверяет
>с помощью Radius'a пускать\не пускать....Если не сложно, приведи примеры твоих конфигов, покажи как у тебя настроено. Очень интересно посмотреть, я только начинаю настраивать подобную инфраструктуру, посмотреть на уже работающий вариант было бы просто замечательно, возможно многим поможет избежать наступлений на одни и теже грабли.
>В том то и дело, что проблема решается лишь частично, через грамотную
>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>
>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>к тому же слишком ресурсоемко. Выход в IPSEC или PPTP.
>
IPSEC или PPTP седает много ресурсов.Мы делаем делать еще проще(в процессе написания):
пишим клиент под win32
сервер под unix.
при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на соеденение) и если все ок. открывает файрвол.если кому интересно можно обсудить по e-mail.
>>В том то и дело, что проблема решается лишь частично, через грамотную
>>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>>
>>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>>к тому же слишком ресурсоемко. Выход в IPSEC или PPTP.
>>
>IPSEC или PPTP седает много ресурсов.
>
>Мы делаем делать еще проще(в процессе написания):
>пишим клиент под win32
>сервер под unix.
>при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин
>пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на
>соеденение) и если все ок. открывает файрвол.
>
>если кому интересно можно обсудить по e-mail.однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети, и подменив свой mac/ip может создать туннель к примеру через udp, и пустить через этот туннель ppp. И ничто в большинстве случаев не укажет работающему в сети легальному пользователю, что у него воруют траффик.
конечно можно написать драйвер (или патч к ядру, или может прогу на libpcap, хотя это спорно), который будет слушать пакеты в сети, и выявлять пакеты со своим source mac адресом, но которые хост не отправлял в течение последнего времени, предпринимая адекватные действия. Однако надо еще написать такой драйвер под все клиентские системы, да и ресурсов проца это может сожрать неплохо если будет большой траффик в сети
>однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети,
>и подменив свой mac/ip может создать туннель к примеру через udp,
>и пустить через этот туннель ppp. И ничто в большинстве случаев
>не укажет работающему в сети легальному пользователю, что у него воруют
>траффик.
.....
Небоглибы вы отредактировать предыдущее послание а то непонятно коментарием к какой теме(методике) он идет.
это был комментарий к методу с программой авторизациии, когда после авторизации доступ юзеру открывается файрволома вообще, при условии что сеть на хабах и нет pptp,ipsec или pppoe, кража траффика возможна , хоть как ты изощряйся.
так как входящие пакеты приходят всем компам в сети, и можно слать информацию любому из них, а то и всем сразу, и собирать это ловлей пакетов с проверкой, какие были отправлены специально для тебя (программой, которую для этого придется написать и которая будет работать на хосте в инете)
>это был комментарий к методу с программой авторизациии, когда после авторизации доступ
>юзеру открывается файрволом
>
>а вообще, при условии что сеть на хабах и нет pptp,ipsec или
>pppoe, кража траффика возможна ,
Согласен но c программой авторизации становится сложнее на порядок а то и на 2.
Другими словами если человек такой крутой спец что может сломать все.
то он не будет заниматься кражей трафика. ему проще и его купить. т.к. з/п у него должнабыть высокой. если это не так то фраер он :)))
>>В том то и дело, что проблема решается лишь частично, через грамотную
>>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>>
>>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>>к тому же слишком ресурсоемко. Выход в IPSEC или PPTP.
>>
>IPSEC или PPTP седает много ресурсов.
>
>Мы делаем делать еще проще(в процессе написания):
>пишим клиент под win32
>сервер под unix.
>при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин
>пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на
>соеденение) и если все ок. открывает файрвол.
А как фаревол открывать? и закрывать для конкретного пользователя?... приведите пример пож-та
>если кому интересно можно обсудить по e-mail.
tikkit@yandex.ru
>А как фаревол открывать? и закрывать для конкретного пользователя?... приведите пример пож-таЯ это пытаюсь реализовать так: серверная часть на с++ форчится, а потом экзеком просто выполняет следующую команду:
iptables -I iptables_chain -s client_ip -j ACCEPT
iptables -I iptables_chain -d client_ip -j ACCEPT
это естественно самый примитивный вариант, без маркировки пакетов и проч.
Работа с VLAN и ограничения полосы пропускания под LinuxВ статье "Узел доступа с применением VLAN и ограничения полосы пропускания (Shaping)" описывается решение проблемы изоляции аппаратуры клиентов друг от друга с одновременным предоставлением доступа к единому каналу доступа в интернет для потребителей через применение коммутатора второго уровня с поддержкой 802.1Q (VLAN).
http://www.opennet.me/docs/RUS/vlan_solution/index.html
Организация доступа клиентов с применением технологии VPN и тунеллирования
В статье описана технология организации виртуального канала, между потребителем и сервером доступа с использованием существующей IP инфраструктуры. При этом для организации туннеля со стороны пользователя требуется знание учетной записи и пароля. Серверная часть реализуется на Linux, клиентская часть под Linux или Windows.
Для развия темы: для конфигурации freebsd/linux + pptp хотелось бы узнать, насколько мощное железо нужно для 10, 20, 30 и т.д. активных пользователей с шифрованием и без шифрования pptp туннеля? Просто приведите примеры из жизни у кого так работают шлюзы...
>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?Я сделал так:
Для пользователей под маскарадингом все просто -
1. Открывается аккаунт, пользователю шеллом ставится intmasq (см ниже)
2. Скрипт billmas в кроне на одну минуту по циклу
3. Каталог юзверя содержит:
intmasq
userdata
flag
----------
intmasq:#! /usr/bin/perl -w
#programma START/STOP Inet
open (flags1,"/home/user/flag.txt");
$usl = <flags1>;
if ($usl == 1){
print "Inet DOWN";
open(flags1,">/home/user/flag.txt"); #esli flag=1 to NET vkluchen - otkluchaem
print flags1 0,"\n"; #sbrasivaem flag
close(flags1);
open (userfile1,"> /home/user/userdata"); #ustanavlivaem flag dla billmas.pl
print userfile1 0 , "\n"; #otrubaem NET
close userfile1;
}
else{
print "Inet UP";
open(flags1,">/home/user/flag.txt"); #NET vikluchen - vkluchaem
print flags1 1,"\n"; #ustanavlivaem flag
close(flags1);
open (userfile1,"> /home/user/userdata");
print userfile1 1 , "\n";
close userfile1;
}
-------------
billmas:
#! /usr/bin/perl -w
# Eta programma vipolnaetsa pod ROOT i vkl/vikl cepochki IPCHAINS
# po zapusku skriptov START/STOP v katalogah polzovatelej
# Etot variant TOLKO DLA MASKARADINGA!
system ("ipchains -L forward -n -v > /internet/forward.txt");
open (datafile1, "/internet/forward.txt") || die "Fuck off!!!";OUTER:
system ("/sbin/ipchains -L output -n -v > /internet/chains.txt");
open (userfile4, "/home/user/userdata") || die;
$data = <userfile4>;
close (userfile4);
if ($data==1) { #
while (defined ($line = <datafile1>))
{
chomp $line;
#ichem sovpadenie
if ($line =~ /\b192.168.1.2\b/) {
print "inet UP - not duble";
goto dfg56rtmetka;
};
}
open (userfile1, ">> /internet/userstat") || die; #
print userfile1 "----------" , "\n" ; #
close (userfile1); #
system ("date >> /internet/userstat"); #pishem datu vhoda v Inet
system ("/bin/grep 192.168.1.2 /internet/chains.txt > /internet/statuser/user/tmp.grp");open (traf1, "/internet/statuser/user/tmp.grp") || die; #blok zapisi statistiki START
$line=<traf1>;
close(traf1);
open (userfile1, ">> /internet/userstat") || die; #
print userfile1 $line; #
close (userfile1); #
open (userfile2, "> /home/user/userdata") || die; #
print userfile2 2 , "\n" ; #pishem flag "NOP"
close (userfile2); #
system ("/sbin/ipchains -A forward -i eth0 -s 192.168.1.2 -j MASQ") #razreshaem MASQ
};
if ($data==0) { #flag vihoda iz Inet
system ("/bin/grep 192.168.1.2 /internet/chains.txt > /internet/statuser/user/tmp.grp");
open (traf1, "/internet/statuser/user/tmp.grp") || die; #blok zapisi statistiki START
$line=<traf1>;
close(traf1);
open (userfile1, ">> /internet/userstat") || die; #
print userfile1 $line; #
close (userfile1); #
system ("date >> /internet/userstat"); #
open (userfile3, "> /home/user/userdata") || die; #
print userfile3 2 , "\n" ; #
close (userfile3); #
system ("/sbin/ipchains -D forward -i eth0 -s 192.168.1.2 -j MASQ") #zaprechaem MASQ
};
#------------------------------------------------------------------------------
Авторизация юзеров по SSH , не коннектясь на сервер лазят только внутри локалки...
Скрипты написаны коряво конечно, но программер я хреновый...
Есть такой вариант:
юзер входит в свою статистику по http
с авторизацией по паролю типа mod_auth_pam-1.0a.
там вкл выход в инет запуском скрипта по
ссылке.
Скрипт проверяет юзера и ip елси ок
выставляет в SQL базу ip, name, поле проверки и тп.В памяти серва крутится др скрипт типа
while (.T.){
....
wait 5
}
который проверяет базу SQL на наличие
новых юзеров и выставляет аккаунт новымЧерез крон через n минут запускать проверку
работы юзера в инет, если не работал и есть аккаунт
убираем аккаунты.Вариантом можно сделать что бы юзер мог сам
выключить выход в инет (типа закрой дверь быстрей).
>Вариантом можно сделать что бы юзер мог сам
>выключить выход в инет (типа закрой дверь быстрей).Предложенная вами схема даавно работает!!!
сделайте поиск по форуму.
>>Вариантом можно сделать что бы юзер мог сам
>>выключить выход в инет (типа закрой дверь быстрей).
>
Предложенная вами схема даавно работает!!!
сделайте поиск по форуму.Даже написан клиент на c++ под free который смотрит в базу mysql и сам прописывает в ядро правила ipfw.
>>>Вариантом можно сделать что бы юзер мог сам
>>>выключить выход в инет (типа закрой дверь быстрей).
>>
>Предложенная вами схема даавно работает!!!
>сделайте поиск по форуму.
>
>Даже написан клиент на c++ под free который смотрит в базу
>mysql и сам прописывает в ядро правила ipfw.Не хочу никого обидеть, но на админов вы не сильно похожи, да и не программистов тем более.
Что вам дает сочитание MAC + IP ? Полным счетом ничего,
потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
пользователя сети, зделать его такой же себе, ему изменить, поменять свой IP на его, тогда ваша "умная" программа его отключит а я
стану сидеть за счет честного человека в интернете .
Вот эта схема работает чудесно :)
Есть выход - это авторизация по логину и паролю, что - то напонминает
pppoe и т.п.
Если вы отвечали gare то вот вам мой ответ!
>Не хочу никого обидеть, но на админов вы не сильно похожи, да
>и не программистов тем более.
А как на них похожи?
>Что вам дает сочитание MAC + IP ? Полным счетом ничего,
>потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
>пользователя сети, зделать его такой же себе, ему изменить, поменять
>свой IP на его, тогда ваша "умная" программа его отключит а я
>стану сидеть за счет честного человека в интернете .
Вы делаете выводы не разобравшись в сути.
Когда пользователь блокирует свой IP то блокируется выход в инет с его IP/
т.е. в файрвол прописывается правило что по этому IP никакого трафика.>Вот эта схема работает чудесно :)
И вы можете обставиться кучей маков, ничего у вас работать небудет.
>Есть выход - это авторизация по логину и паролю, что - то
>напонминает pppoe и т.п.
Об этом тоже много писалось на форуме, да вариант хороший дающий большую безопастность но поедающий много ресурсов.
только ненадо щас рассказывать что у вас 100 клиентов и что все работает замечательно быстро на p-4 2.4G.Мы рассматриваем универсальный вариант. когда есть много роутеров, подключенных к инету в разных местах. И надо в разных местах вести авторизацию чтоб 2_жды не гонать трафик!
У вас-же в большинстве случаев, все (~100 компов) подключенно в 1 месте, и стоит нереально мощная машина. А вы на p-i 100 16Мб предложите решение.
А если вам что-то гдето напоминает, то будьте подробры примеры, рабочие конфиги, исходники , желательно с возможностью подключаться к разным БД..
А то кое кто кричит что-то напоминает а реально статистики нету...
>Что вам дает сочитание MAC + IP ? Полным счетом ничего,
>потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
>
>пользователя сети, зделать его такой же себе, ему изменить, поменять свой IPСтавить конечным пользователям свичи с В-ЛАНАМИ, сосед соседа не видит, как следствие МАС адресов тоже, да и количество хостов + топологию сети.
Все это хозяйство втыкать в другие В-ЛАНЫ ;) на роутере, мы например юзаем Marconi/Fore Power Hub 6000-7000 итд, там на каждый порт можно прописать соответствующие связки ИП + МАС, как следствие - других дятлов со свича не пустит. От юзера виден только ГВ, гостальное за ним.Чисто софтверных решений (надежных) не существует. ИМХО
>>Вариантом можно сделать что бы юзер мог сам
>>выключить выход в инет (типа закрой дверь быстрей).
>
>Предложенная вами схема даавно работает!!!
>сделайте поиск по форуму.клацно! а я тут сам выеживаюсь, выдумываю
Можно жестко контролировать сеть используя виндовую примочку - так называемый profile. В ней можно запретить пользователю менять в винде все - начиная с установки программ и заканчивая броузинком сети. Это очень жестко конечно но действует. Необходимо наличие домена( на Самбе или винде, роли не играет).
>Можно жестко контролировать сеть используя виндовую примочку - так называемый profile. Вuzna Вы вобще прочитали ВЕСЬ топик ?... какойто ответ у вас не в кассу:))))))))))))))))))
>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
Знаешь у меня сейчас точно такая же проблема! Я прочитал книгу "Технологии защиты информации" (Мамаев,Петренко) и против подмены IP-MAC не нашел подходящего решения! Я даже сталкивался со случаями, когда меняли IP-MAC на адрес соседа при включенных машинах, при этом машина мошенника вытесняет машину честного человека! Если кто знает как такое происходит, как идут пакеты, расскажите плиз!!!
Если позволяют ресурсы и функции маршрутизатора, то самый оптимальный способ - использование технологии PPPoE. Единственный минусом данного варианта является необходимость установки на компьютере пользователя PPPoE клиента (кроме WinXP, где он уже встроен). А так, сплошные плюсы:
ограничение скорости (download, upload) + решение проблемы перехвата трафика благодаря шифрации.Если же забота о конфиденциальности трафика пользователей не столь актуально или же в компетенции самих пользователей, и нет желания возиться с инсталляцией/переинсталляцией PPPoE клиентов (пользователи любят переустанавливать Виндовс :) ), то оптимальней воспользоваться технологией HotSpot, которая не только ограничивает скорость (download, upload), но и объём скаченного-закаченного трафика, а также время пользования.
Принцип действия следующий: при первой попытке загрузить в броузере сайт, выдаётся страница авторизации, и только ввода правильного логин/пароль с правильного MAC пользователь получает запрашиваемый сайт. Время действия авторизации - до перезагрузки компьютера, по истечению выставленного пользователю времени или ручного log off.
Подробнее о возможностях и настройке HotSpot:
http://www.mikrotik.lv/Documentation/manual_2.7/IP/Hotspot.htmlКстати, в Латвии данная технология используется не только в "домашних" сетях, но и в гостиницах, конференц-залах и учебных заведениях.
Routing The World: http://www.mt.lv
>Если позволяют ресурсы и функции маршрутизатора, то самый оптимальный способ - использование
>технологии PPPoE. Единственный минусом данного варианта является необходимость установки на компьютере
>пользователя PPPoE клиента (кроме WinXP, где он уже встроен). А так,
>сплошные плюсы:
>ограничение скорости (download, upload) + решение проблемы перехвата трафика благодаря шифрации.Короче.
pptp и pppoe можно организовать на mpd+radius.
Для mpd (pppoe) на 100 пользователей хватало k6-2 350.
Я думаю, при необходимости можно и туже зажать.
И не нужны тут крутые скрипты для фаерволов.
Разрешен пользователю инет - авторизируйся и сиди спокойно.
Запрещен - свободен.
Если закончился лимит трафика, то сбрасываем сессию.
Также можно mpd+radius считать трафик клиента.Господа, пользуйтесь фаерволами по назначению.