URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID11
Нить номер: 2
[ Назад ]

Исходное сообщение
"Организация защиты от подмены IP адреса"

Отправлено darckly , 03-Окт-02 12:50 

Как можно не допустить подмену IP адреса на чужой машине? Раньше эта проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через arp -s, но теперь встретился с фактом, что можно на некоторых картах прямо в их настройках вручную изменять MAC. Можно ли как-либо ещё что-то сделать, чтобы избежать такого проникновения?

Содержание

Сообщения в этом обсуждении
"RE: Организация защиты от подмены IP адреса"
Отправлено Volodymyr , 07-Окт-02 10:21 
Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC. То есть карточка привязана к порту. Это могут Cisco Catalyst. Про остальных вендоров не в курсе.

>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?



"RE: Организация защиты от подмены IP адреса"
Отправлено darckly , 07-Окт-02 19:48 
>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC.
>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про
>остальных вендоров не в курсе.
>

Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно допустить, что на каком-либо свиче в то время, пока реальный хозяин отсутствует, может быть произведёно нелегальное подключение в тот же порт. Как я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку идентифицироваться под другим именем.
Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.
Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка иного мака уже идёт програмно. Вот и призадумался, можно ли получить "реальный" адрес сетевой в обход программному?


"RE: Организация защиты от подмены IP адреса"
Отправлено LS , 07-Окт-02 23:09 
>>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC.
>>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про
>>остальных вендоров не в курсе.
>>
>
>Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое
>пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно
>допустить, что на каком-либо свиче в то время, пока реальный хозяин
>отсутствует, может быть произведёно нелегальное подключение в тот же порт.

Общие мысли:

Если клиент имеет возможность изменять физическую структуру сети (т.е. грубо говоря отключиться от одного порта такого "умного" свича и подсоединиться к другому с подменой mac адреса сетевой карты), то единственный на мой взгяд выход, который обеспечивает достаточную надежность - это аутентификация клиента при подключении.

После аутентификации выдать ему определенный IP, и на его основе биллинговать клиента в течении сесии. Другие варианты в исходных условиях задачи по моему не применимы (хотя может быть я их просто не вижу).

Общий ход мысли прост - если клиент может менять все исходные условия задачи (mac, ip, место подключения в физической структуре сети), то нет возможности опираться на эти изначально ненадежные параметры, и единственная возможность достоверно определить клиента - старый дедовский способ - логин+пароль.

В результате вырисовывается хорошо известный механизм AAA - Authentication (опознавание клиента - в простейшем случае опять же логин+пароль), Authorizatition (назначение клиенту ресурсов/параметров соединения, которые он может использовать - в частности IP), Accounting (подсчет ресурсов, использованных клиентом, на основании выданных ему параметров соединения - в частности на основании выданного IP)


Как
>я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку
>идентифицироваться под другим именем.
>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.
>Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка
>иного мака уже идёт програмно. Вот и призадумался, можно ли получить
>"реальный" адрес сетевой в обход программному?



"RE: Организация защиты от подмены IP адреса"
Отправлено artcode , 08-Окт-02 08:18 
>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.

Как вариант можно подключить аутентификацию через squid, socks прокси или активировать подключение по PPPOE или PPTP. Тогла о MAC и IP можно не беспокоится, но вылазит другая проблема - как предотвратить перехват пароля пользовтеля.
1. Перехват на машине пользователя, путем раскопки его локальных файлов содержащих запомненный пароль или установки перехватчика вводимых с клавиатуры символов. Как решение - жесткое паролирование машин пользователей.
2. Перехват сниффером. Решается подключением через IPSEC или PPTP, но если машин много -это не совсем эффективно и излишне ресурсоемко. Подключать каждую машину к свичу, тоже не выход - появислоь куча снифферов, которые и при подключении к свичу все что угодно заснифят, путем той же подмены MAC адреса и введения свича в заблуждение - в итоге опять пришли от чего отталкивались - привязка MAC к порту свича.

> Вот и призадумался, можно ли получить
>"реальный" адрес сетевой в обход программному?

Думаю, что нет.


"небольшая подсказка по защите от смены MAC адреса для свичей Cisco Catalyst"
Отправлено uldus , 07-Окт-02 10:58 
Пример фильтрации по MAC адресу для свичей Cisco Catalyst.

Привязка к MAC адресу:
   mac-address-table secure <mac> <port> [vlan N]
Пример: mac-address-table secure 0007.0eaa.3f10 FastEthernet0/1
(См. также mac-address-table static ...)

Посмотреть таблицу MAC адресов можно через:
   sh mac-address-table

Почистить таблицу MAC адресов:
   clear mac-address-table


Ограничение числа MAC-адресов:
   interface FastEthernet0/1
      port security max-mac-count 1
      port security action <trap|shutdown>

trap - генерировать трап при превышении max-mac-count
shutdown - гасить интрефейс при превышении max-mac-count

Защита от флуда (ограничение большого числа broadcast, unicast или multicast пакетов):
    interface FastEthernet0/1
       port block multicast
       port block unicast
       port storm-control broadcast
       port storm-control trap

Просмотр:
    show port storm-control
    show port block


"использование vlan'ов"
Отправлено uldus , 07-Окт-02 12:28 
Кстати, самый простой и дейтсвенный способ я забыл упомянуть: Прокидываем vlan до ближайшего рутера, а там просто не пропускаем во вне ничеко кроме положенного IP. Недостаток метода: нужен достаточно мощный маршрутизатор.
На своей машине юзер прописывает ip 192.168.1.10, ip шлюза 192.168.1.9):
На свиче (Cisco Catalyst):
   interface VLAN1
      ip address 192.168.1.1 255.255.255.0
      no ip directed-broadcast
      no ip route-cache

   interface FastEthernet0/1
      switchport access vlan 2

На рутере (тоже Cisco):
   interface FastEthernet0/0.1
      encapsulation dot1Q 2
      ip address 192.168.1.9 255.255.255.252
      ip access-group user2-in in
      ip access-group user2-out out

   ip access-list extended user2-in
      permit ip 192.168.1.8 0.0.0.3 any
      deny   ip any any
   ip access-list extended user2-out
      permit ip any 192.168.1.8 0.0.0.3                                      
      deny   ip any any log



"RE: использование vlan'ов"
Отправлено Hurricane , 07-Окт-02 17:53 
VPN

"RE: использование vlan'ов"
Отправлено darckly , 07-Окт-02 19:53 
>VPN
Чуть подробнее можно?
Просто не знаю, где в Virtual Private Network можно не допустить подмены IP?


"RE: использование vlan'ов"
Отправлено Hurricane , 08-Окт-02 00:09 
>>VPN
>Чуть подробнее можно?
>Просто не знаю, где в Virtual Private Network можно не допустить подмены
>IP?

Не надо опираться на IP ... И на MAC .. По протоколу VPN происходит авторизация клиента в сети и создается частное соеденение .. То есть я могу прийти к другу и посидеть у него, за свой счет Ж)


"RE: использование vlan'ов"
Отправлено Sergei Batakov , 11-Окт-02 14:21 
>Кстати, самый простой и дейтсвенный способ я забыл упомянуть: Прокидываем vlan до
>ближайшего рутера, а там просто не пропускаем во вне ничеко кроме
>положенного IP. Недостаток метода: нужен достаточно мощный маршрутизатор.
Это верно, но можно и Unix  машину с поддержкой VLAN, и сделать тоже самое на РС. :)

"RE: Организация защиты от подмены IP адреса"
Отправлено appc , 10-Окт-02 15:52 
У нас в домашней сети тоже люди есть которые умеют МАС Адрес менять. Одна половина из них это администраторы, другая их друзья ... :).

Вобщем у нас Админы сделали так ... Логин привязали к IP, IP привязали к МАС адресу. Все со своими логинами и паролями с помощью Secure CRT по протоколу SSH2 конектятся на шлюз, а там добавляется правило в фаерволе которое пускает на время открытой сесии в интернет. И они считают что свой пароль ты должен охранять сам, т.е. если похерил свой пароль, то сам виноват.


"RE: Организация защиты от подмены IP адреса"
Отправлено mcgru , 31-Окт-02 13:49 
>т.е. если похерил свой пароль, то сам виноват.

ага,
из-под W'98 не входить,
из-под NT входить - а впрочем тоже:
можно запустить программулину которая запоминает в каком приложении какие клавиши нажимались :)



"RE: Организация защиты от подмены IP адреса"
Отправлено ak , 21-Июн-03 02:17 
Ага, половина в сети админы, вторая - друзья, а с кого тогда деньги брать? Довольно неудобный способ. pptp проще, многоплатформенный и народ простой к нему быстро привыкает - очень уж на модем похоже.

"RE: Организация защиты от подмены IP адреса"
Отправлено VDaxer , 10-Окт-02 23:35 
может частично сможети помочь arpwatch - если чел не додумается вырубить сетевуху, то есть возможность засечь смену ip/mac

А вообще, имхо, самый реальный подход - конект через ssh к роутеру, как это описано в handsbook - http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/op....


"RE: Организация защиты от подмены IP адреса"
Отправлено uldus , 11-Окт-02 10:09 
>может частично сможети помочь arpwatch

В том то и дело, что проблема решается лишь частично, через грамотную организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
Но если пользователь поменяет MAC и IP адреса на MAC и IP соседа, у которого выключена машина, то arpwatch технология не обнаружит такую подмену. Если нужно просто отследить попытки самовольной смены/присвоения IP адресов - то arpwatch (http://online.securityfocus.com/tools/142) весьма неплохое решение.

PS. Недавно натолкнулся на новую, весьма интересную, систему мониторинга http://www.conostix.com/ipfc/

>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,

Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.


"RE: Организация защиты от подмены IP адреса"
Отправлено mimohodom , 11-Окт-02 23:50 
У нас это организовано так:
Есть DHCP сервер,
он при включении машины отдает тебе фейковый адрес,
Затем, ты по VPN'у подключаешься к серверу(с помощью логина\пароля), который проверяет
с помощью Radius'a пускать\не пускать....

работало даже на P1 2x133...
и сети на 30 машин....


"RE: Организация защиты от подмены IP адреса"
Отправлено Вадим , 12-Окт-02 12:46 
>У нас это организовано так:
>Есть DHCP сервер,
>он при включении машины отдает тебе фейковый адрес,
>Затем, ты по VPN'у подключаешься к серверу(с помощью логина\пароля), который проверяет
>с помощью Radius'a пускать\не пускать....

Если не сложно, приведи примеры твоих конфигов, покажи как у тебя настроено. Очень интересно посмотреть, я только начинаю настраивать подобную инфраструктуру, посмотреть на уже работающий вариант было бы просто замечательно, возможно многим поможет избежать наступлений на одни и теже грабли.


"RE: Организация защиты от подмены IP адреса"
Отправлено gara , 22-Окт-02 14:40 
>В том то и дело, что проблема решается лишь частично, через грамотную
>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>
>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.
>
IPSEC или PPTP седает много ресурсов.

Мы делаем делать еще проще(в процессе написания):
пишим клиент под win32
сервер под unix.
при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на соеденение)  и если все ок. открывает файрвол.

если кому интересно можно обсудить по e-mail.


"RE: Организация защиты от подмены IP адреса"
Отправлено qq , 27-Окт-02 22:13 
>>В том то и дело, что проблема решается лишь частично, через грамотную
>>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>>
>>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>>к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.
>>
>IPSEC или PPTP седает много ресурсов.
>
>Мы делаем делать еще проще(в процессе написания):
>пишим клиент под win32
>сервер под unix.
>при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин
>пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на
>соеденение)  и если все ок. открывает файрвол.
>
>если кому интересно можно обсудить по e-mail.

однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети, и подменив свой mac/ip может создать туннель к примеру через udp, и пустить через этот туннель ppp. И ничто в большинстве случаев не укажет работающему в сети легальному пользователю, что у него воруют траффик.
конечно можно написать драйвер (или патч к ядру, или может прогу на libpcap, хотя это спорно), который будет слушать пакеты в сети, и выявлять пакеты со своим source mac адресом, но которые хост не отправлял в течение последнего времени, предпринимая адекватные действия. Однако надо еще написать такой драйвер под все клиентские системы, да и ресурсов проца это может сожрать неплохо если будет большой траффик в сети


"RE: Организация защиты от подмены IP адреса"
Отправлено gara , 27-Окт-02 23:07 

>однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети,
>и подменив свой mac/ip может создать туннель к примеру через udp,
>и пустить через этот туннель ppp. И ничто в большинстве случаев
>не укажет работающему в сети легальному пользователю, что у него воруют
>траффик.
.....
Небоглибы вы отредактировать предыдущее послание а то непонятно коментарием к какой теме(методике) он идет.

"RE: Организация защиты от подмены IP адреса"
Отправлено qq , 28-Окт-02 12:55 
это был комментарий к методу с программой авторизациии, когда после авторизации доступ юзеру открывается файрволом

а вообще, при условии что сеть на хабах и нет pptp,ipsec или pppoe, кража траффика возможна , хоть как ты изощряйся.
так как входящие пакеты приходят всем компам в сети, и можно слать информацию любому из них, а то и всем сразу, и собирать это ловлей пакетов с проверкой, какие были отправлены специально для тебя (программой, которую для этого придется написать и которая будет работать на хосте в инете)



"RE: Организация защиты от подмены IP адреса"
Отправлено gara , 28-Окт-02 13:48 
>это был комментарий к методу с программой авторизациии, когда после авторизации доступ
>юзеру открывается файрволом
>
>а вообще, при условии что сеть на хабах и нет pptp,ipsec или
>pppoe, кража траффика возможна ,
Согласен но c программой авторизации становится сложнее на порядок а то и на 2.
Другими словами если человек такой крутой спец что может сломать все.
то он не будет заниматься кражей трафика. ему проще и его купить. т.к. з/п у него должнабыть высокой. если это не так то фраер он :)))


"RE: Организация защиты от подмены IP адреса"
Отправлено tikkit , 03-Фев-04 19:27 
>>В том то и дело, что проблема решается лишь частично, через грамотную
>>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>>
>>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>>к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.
>>
>IPSEC или PPTP седает много ресурсов.
>
>Мы делаем делать еще проще(в процессе написания):
>пишим клиент под win32
>сервер под unix.
>при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин
>пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на
>соеденение)  и если все ок. открывает файрвол.
А как фаревол открывать? и закрывать для конкретного пользователя?... приведите пример пож-та
>если кому интересно можно обсудить по e-mail.
tikkit@yandex.ru


"RE: Организация защиты от подмены IP адреса"
Отправлено Wandering Star , 23-Фев-05 13:16 
>А как фаревол открывать? и закрывать для конкретного пользователя?... приведите пример пож-та

Я это пытаюсь реализовать так: серверная часть на с++ форчится, а потом экзеком просто выполняет следующую команду:
iptables -I iptables_chain -s client_ip -j ACCEPT
iptables -I iptables_chain -d client_ip -j ACCEPT
это естественно самый примитивный вариант, без маркировки пакетов и проч.


"RE: Организация защиты от подмены IP адреса"
Отправлено Maxim Chirkov , 16-Окт-02 12:29 
Работа с VLAN и ограничения полосы пропускания под Linux

В статье "Узел доступа с применением VLAN и ограничения полосы пропускания (Shaping)" описывается решение проблемы изоляции аппаратуры клиентов друг от друга с одновременным предоставлением доступа к единому каналу доступа в интернет для потребителей через применение коммутатора второго уровня с поддержкой 802.1Q (VLAN).

http://www.opennet.me/docs/RUS/vlan_solution/index.html

Организация доступа клиентов с применением технологии VPN и тунеллирования

В статье описана технология организации виртуального канала, между потребителем и сервером доступа с использованием существующей IP инфраструктуры. При этом для организации туннеля со стороны пользователя требуется знание учетной записи и пароля. Серверная часть реализуется на Linux, клиентская часть под Linux или Windows.

http://www.opennet.me/docs/RUS/vpn_solution/index.html


"RE: Организация защиты от подмены IP адреса"
Отправлено jr , 18-Ноя-02 17:59 
Для развия темы: для конфигурации freebsd/linux + pptp хотелось бы узнать, насколько мощное железо нужно для 10, 20, 30 и т.д. активных пользователей с шифрованием и без шифрования pptp туннеля? Просто приведите примеры из жизни у кого так работают шлюзы...

"RE: Организация защиты от подмены IP адреса"
Отправлено irish2000 , 22-Ноя-02 13:33 
>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?

Я сделал так:
Для пользователей под маскарадингом все просто -
1. Открывается аккаунт, пользователю шеллом ставится intmasq (см ниже)
2. Скрипт billmas в кроне на одну минуту по циклу
3. Каталог юзверя содержит:
intmasq
userdata
flag
----------
intmasq:

#! /usr/bin/perl -w
#programma START/STOP Inet
open (flags1,"/home/user/flag.txt");
$usl = <flags1>;
if ($usl == 1){
print "Inet DOWN";
open(flags1,">/home/user/flag.txt");    #esli flag=1 to NET vkluchen - otkluchaem
print flags1 0,"\n";            #sbrasivaem flag
close(flags1);
open (userfile1,"> /home/user/userdata");    #ustanavlivaem flag dla billmas.pl
print userfile1 0 , "\n";        #otrubaem NET
close userfile1;
}
else{
print "Inet UP";
open(flags1,">/home/user/flag.txt");    #NET vikluchen - vkluchaem
print flags1 1,"\n";            #ustanavlivaem flag
close(flags1);
open (userfile1,"> /home/user/userdata");
print userfile1 1 , "\n";
close userfile1;
  }
-------------
billmas:
#! /usr/bin/perl -w
# Eta programma vipolnaetsa pod ROOT i vkl/vikl cepochki IPCHAINS
# po zapusku skriptov START/STOP v katalogah polzovatelej
# Etot variant TOLKO DLA MASKARADINGA!
system ("ipchains -L forward -n -v > /internet/forward.txt");
open (datafile1, "/internet/forward.txt") || die "Fuck off!!!";

OUTER:
system ("/sbin/ipchains -L output -n -v > /internet/chains.txt");
open (userfile4, "/home/user/userdata") || die;
$data = <userfile4>;
close (userfile4);
    if ($data==1) {                        #
            while (defined ($line = <datafile1>))
            {
            chomp $line;
            #ichem sovpadenie
            if ($line =~ /\b192.168.1.2\b/) {
            print "inet UP - not duble";
            goto dfg56rtmetka;
            };
            }
        open (userfile1, ">> /internet/userstat") || die;    #
        print userfile1 "----------" , "\n"  ;                    #
        close (userfile1);                    #
        
        system ("date >> /internet/userstat");    #pishem datu vhoda v Inet
        system ("/bin/grep 192.168.1.2 /internet/chains.txt > /internet/statuser/user/tmp.grp");

        open (traf1, "/internet/statuser/user/tmp.grp") || die;    #blok zapisi statistiki START
        $line=<traf1>;
        close(traf1);
                
        open (userfile1, ">> /internet/userstat") || die;    #
        print userfile1 $line;                    #
        close (userfile1);                    #
                        
        open (userfile2, "> /home/user/userdata") || die;        #
        print userfile2 2 , "\n"  ;                    #pishem flag "NOP"
        close (userfile2);                    #
        system ("/sbin/ipchains -A forward -i eth0 -s 192.168.1.2 -j MASQ")         #razreshaem MASQ
        };
    
    if ($data==0) {                        #flag vihoda iz Inet
        system ("/bin/grep 192.168.1.2 /internet/chains.txt > /internet/statuser/user/tmp.grp");
        
        open (traf1, "/internet/statuser/user/tmp.grp") || die;    #blok zapisi statistiki START
        $line=<traf1>;
        close(traf1);
        open (userfile1, ">> /internet/userstat") || die;    #
        print userfile1 $line;                    #
        close (userfile1);                    #
                        
        system ("date >> /internet/userstat");    #
        
        open (userfile3, "> /home/user/userdata") || die;        #
        print userfile3 2 , "\n"  ;            #
        close (userfile3);                    #
        system ("/sbin/ipchains -D forward -i eth0 -s 192.168.1.2 -j MASQ")         #zaprechaem MASQ
        };
#------------------------------------------------------------------------------
Авторизация юзеров по SSH , не коннектясь на сервер лазят только внутри локалки...
Скрипты написаны коряво конечно, но программер я хреновый...



"RE: Организация защиты от подмены IP адреса"
Отправлено zond , 01-Янв-03 23:28 
Есть такой вариант:
юзер входит в свою статистику по http
с авторизацией по паролю типа mod_auth_pam-1.0a.
там вкл выход в инет запуском скрипта по
ссылке.
Скрипт проверяет юзера и ip елси ок
выставляет в SQL базу ip, name, поле проверки и тп.

В памяти серва крутится др скрипт типа
while (.T.){
....
wait 5
}
который проверяет базу SQL на наличие
новых юзеров и выставляет аккаунт новым

Через крон через n минут запускать проверку
работы юзера в инет, если не работал и есть аккаунт
убираем аккаунты.

Вариантом можно сделать что бы юзер мог сам
выключить выход в инет (типа закрой дверь быстрей).


"RE: Организация защиты от подмены IP адреса"
Отправлено gara , 02-Янв-03 01:04 
>Вариантом можно сделать что бы юзер мог сам
>выключить выход в инет (типа закрой дверь быстрей).

Предложенная вами схема даавно работает!!!
сделайте поиск по форуму.


"RE: Организация защиты от подмены IP адреса"
Отправлено gara , 02-Янв-03 01:07 
>>Вариантом можно сделать что бы юзер мог сам
>>выключить выход в инет (типа закрой дверь быстрей).
>
Предложенная вами схема даавно работает!!!
сделайте поиск по форуму.

Даже написан клиент на c++ под free  который смотрит в базу mysql и сам прописывает в ядро правила ipfw.



"RE: Организация защиты от подмены IP адреса"
Отправлено Vladislav , 02-Янв-03 01:16 
>>>Вариантом можно сделать что бы юзер мог сам
>>>выключить выход в инет (типа закрой дверь быстрей).
>>
>Предложенная вами схема даавно работает!!!
>сделайте поиск по форуму.
>
>Даже написан клиент на c++ под free  который смотрит в базу
>mysql и сам прописывает в ядро правила ipfw.

Не хочу никого обидеть, но на админов вы не сильно похожи, да и не программистов тем более.
Что вам дает сочитание MAC + IP ? Полным счетом ничего,
потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
пользователя сети, зделать его такой же себе, ему изменить, поменять свой IP на его, тогда ваша "умная" программа его отключит а я
стану сидеть за счет честного человека в интернете .
Вот эта схема работает чудесно :)
Есть выход - это авторизация по логину и паролю, что - то напонминает
pppoe и т.п.


"RE: Организация защиты от подмены IP адреса"
Отправлено gara , 02-Янв-03 01:31 
Если вы отвечали gare то вот вам мой ответ!
>Не хочу никого обидеть, но на админов вы не сильно похожи, да
>и не программистов тем более.
А как на них похожи?
>Что вам дает сочитание MAC + IP ? Полным счетом ничего,
>потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
>пользователя сети, зделать его такой же себе, ему изменить, поменять
>свой IP на его, тогда ваша "умная" программа его отключит а я
>стану сидеть за счет честного человека в интернете .
Вы делаете выводы не разобравшись в сути.
Когда пользователь блокирует свой IP то блокируется выход в инет с его IP/
т.е. в файрвол прописывается правило что по этому IP никакого трафика.

>Вот эта схема работает чудесно :)
И вы можете обставиться кучей маков, ничего у вас работать небудет.
>Есть выход - это авторизация по логину и паролю, что - то
>напонминает pppoe и т.п.
Об этом тоже много писалось на форуме, да вариант хороший дающий большую безопастность но поедающий много ресурсов.
только ненадо щас рассказывать что у вас 100 клиентов и что все работает замечательно быстро на p-4 2.4G.

Мы рассматриваем универсальный вариант. когда есть много роутеров, подключенных к инету в разных местах. И надо в разных местах вести авторизацию чтоб 2_жды не гонать трафик!

У вас-же в большинстве случаев, все (~100 компов) подключенно в 1 месте, и стоит нереально мощная машина. А вы на p-i 100 16Мб предложите решение.

А если вам что-то гдето напоминает, то будьте подробры примеры, рабочие конфиги, исходники , желательно с возможностью подключаться к разным БД..

А то кое кто  кричит что-то напоминает а реально статистики нету...


"RE: Организация защиты от подмены IP адреса"
Отправлено Юзер , 21-Окт-04 01:45 
>Что вам дает сочитание MAC + IP ? Полным счетом ничего,
>потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
>
>пользователя сети, зделать его такой же себе, ему изменить, поменять свой IP

Ставить конечным пользователям свичи с В-ЛАНАМИ, сосед соседа не видит, как следствие МАС адресов тоже, да и количество хостов + топологию сети.
Все это хозяйство втыкать в другие В-ЛАНЫ ;) на роутере, мы например юзаем Marconi/Fore Power Hub 6000-7000 итд, там на каждый порт можно прописать соответствующие связки ИП + МАС, как следствие - других дятлов со свича не пустит. От юзера виден только ГВ, гостальное за ним.

Чисто софтверных решений (надежных) не существует. ИМХО


"RE: Организация защиты от подмены IP адреса"
Отправлено zond , 02-Янв-03 14:09 
>>Вариантом можно сделать что бы юзер мог сам
>>выключить выход в инет (типа закрой дверь быстрей).
>
>Предложенная вами схема даавно работает!!!
>сделайте поиск по форуму.

клацно! а я тут сам выеживаюсь, выдумываю


"RE: Организация защиты от подмены IP адреса"
Отправлено uzna , 20-Фев-03 14:51 
Можно жестко контролировать сеть используя виндовую примочку - так называемый profile. В ней можно запретить пользователю менять в винде все - начиная с установки программ и заканчивая броузинком сети. Это очень жестко конечно но действует. Необходимо наличие домена( на Самбе или винде, роли не играет).



"RE: Организация защиты от подмены IP адреса"
Отправлено Gara , 22-Фев-03 11:52 
>Можно жестко контролировать сеть используя виндовую примочку - так называемый profile. В

uzna Вы вобще прочитали ВЕСЬ топик ?... какойто ответ у вас не в кассу:))))))))))))))))))


"RE: Организация защиты от подмены IP адреса"
Отправлено Zed , 25-Фев-03 18:08 
>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
Знаешь у меня сейчас точно такая же проблема! Я прочитал книгу "Технологии защиты информации" (Мамаев,Петренко) и против подмены IP-MAC не нашел подходящего решения! Я даже сталкивался со случаями, когда меняли IP-MAC на адрес соседа при включенных машинах, при этом машина мошенника вытесняет машину честного человека! Если кто знает как такое происходит, как идут пакеты, расскажите плиз!!!


"Организация защиты от подмены IP адреса"
Отправлено ASM , 03-Июн-03 15:24 
Если позволяют ресурсы и функции маршрутизатора, то самый оптимальный способ - использование технологии PPPoE. Единственный минусом данного варианта является необходимость установки на компьютере пользователя PPPoE клиента (кроме WinXP, где он уже встроен). А так, сплошные плюсы:
ограничение скорости (download, upload) + решение проблемы перехвата трафика благодаря шифрации.

Если же забота о конфиденциальности трафика пользователей не столь актуально или же в компетенции самих пользователей, и нет желания возиться с инсталляцией/переинсталляцией PPPoE клиентов (пользователи любят переустанавливать Виндовс :) ), то оптимальней воспользоваться технологией HotSpot, которая не только ограничивает скорость (download, upload), но и объём скаченного-закаченного трафика, а также время пользования.

Принцип действия следующий: при первой попытке загрузить в броузере сайт, выдаётся страница авторизации, и только ввода правильного логин/пароль с правильного MAC пользователь получает запрашиваемый сайт. Время действия авторизации - до перезагрузки компьютера, по истечению выставленного пользователю времени или ручного log off.

Подробнее о возможностях и настройке HotSpot:
http://www.mikrotik.lv/Documentation/manual_2.7/IP/Hotspot.html

Кстати, в Латвии данная технология используется не только в "домашних" сетях, но и в гостиницах, конференц-залах и учебных заведениях.

Routing The World: http://www.mt.lv


"Организация защиты от подмены IP адреса"
Отправлено Myc , 04-Май-05 12:17 
>Если позволяют ресурсы и функции маршрутизатора, то самый оптимальный способ - использование
>технологии PPPoE. Единственный минусом данного варианта является необходимость установки на компьютере
>пользователя PPPoE клиента (кроме WinXP, где он уже встроен). А так,
>сплошные плюсы:
>ограничение скорости (download, upload) + решение проблемы перехвата трафика благодаря шифрации.

Короче.
pptp и pppoe можно организовать на mpd+radius.
Для mpd (pppoe) на 100 пользователей хватало k6-2 350.
Я думаю, при необходимости можно и туже зажать.
И не нужны тут крутые скрипты для фаерволов.
Разрешен пользователю инет - авторизируйся и сиди спокойно.
Запрещен - свободен.
Если закончился лимит трафика, то сбрасываем сессию.
Также можно mpd+radius считать трафик клиента.

Господа, пользуйтесь фаерволами по назначению.