stanru1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору хм. можно запретить что-то для конкретного ип, для всех ип, для конкретного юзера и т.д. Ответ на этот вопрос может дать тот, кто настраивал фаервол. Всего записей: 124 | Зарегистр. 20-10-2004 | Отправлено: 18:55 19-04-2006

KYjIXaKEP Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Поднять DHCP. На нем сделать привязку Айпи-МАК. И создать диапазон исключения такой же как и диапазон для выдачи. Тогда DHCP будет выдавать только резервированые адреса, а остальным просто не даст Ip адрес. Просто смена МАКа в данной ситуации не поможет, нужно его подделывать на заранее известный, что бы DHCP его принял. извените за неграмотность, но у мен возникли вопросы аткие (может кому то они покажутс глупыми...) : 1. Если есть DHCP и какому-то компутеру не выдастся адрес, то что тогда?  а) он не будет виден в сети?  б) если он сам "ручками" ведет себе ип-адрес?   2. Это при подключении нового юзера я должен буду сперва его подключить, потом придти к себе за комп и создать правило для его МАС и ип адресов чтоль? Всего записей: 131 | Зарегистр. 18-07-2005 | Отправлено: 21:48 20-04-2006

exMIB Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я тут на досуге зяглянул в вашу темку, и такой вывод сделал - полная демократия в организации погубит сис.админа А то смотрю тут у некоторых и права админа у юзеров, и полный физический доступ ко всему железу - это бесконечный хаос и только. Я демократию люблю и уважаю, ну посмотрев что просиходит когда даешь полную свободу, то это полный хаос получается с компами и сеткой. А полный хаос в сетке - это очень не хорошо, мое мнение. Доходит до того что не успеваешь новинки внедрить, как народ нагадил уже на компах так и в сети что начинаешь всё восстанваливать и так по кругу. В итоге времени на что-нибудь ещё новое совершенно не остается. Но это я про организации, а не домашние сети.   P.s. Ну вот в жизни России, к примеру, тоже. Мы же не привыкли к полной свободе, получается хаос, что в жизни, что на дорогах. Люди сами организоваться никак не смогут. Можно конечно и подождать, и посмотреть, но главное не опоздать с решениями. Всего записей: 3381 | Зарегистр. 27-09-2001 | Отправлено: 23:04 20-04-2006

AskeT 13 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Привет!   Цитата: 1. Если есть DHCP и какому-то компутеру не выдастся адрес, то что тогда?    а) он не будет виден в сети?   Он не то, что бы не виден, он вообще будет не в сети в такой ситуации=))   Цитата: Это при подключении нового юзера я должен буду сперва его подключить, потом придти к себе за комп и создать правило для его МАС и ип адресов чтоль?   Да.   Подумал я тут на досуге, и пришел к выводу, предложеный мной вариант не очень=(   Во первых:   Цитата: если он сам "ручками" ведет себе ип-адрес?     Как поведет себя DHCP сервер, когда в сети появиться комп с адресом таким же как и тот комп для которого есть резервирование( резервированый комп допустим отключен), но с левым МАКом???   Кстати если кто знает, отпишите, буду очень признателен=)   Вариант первый: произойдет конфликт адресов. Вариант второй:  на это положиться болт, так как в данный момент резервированый комп отключен, и фактически такого адреса в сети нет.   Если DHCP сервер поведет себя по 1 варианту, тогда предложенные мной дествия еще могут помочь, если по второму:   Это первая большая дыра! Продвинутый юзверь с правами админа это сделает конечно. Ему нужно выбрать адрес из определенного диапазона, но и это вобщем ерунда.       И наконец фаер! Это же межсетевой экран. А значит, поставив его на машину в локальной сети, можно запретить трафик любой машины к машине с фаером , но нельзя запретить с машины на которой фаер локальный трафик других машин друг к другу. А отсюда, что фаер может закрыть только доступ в инет, но никак не локальный трафик в сети. (все вышесказанное относиться к одноранговой сети)   А коли мне память не изменяет вопрос был как раз не про инет, а про локальную сеть=)   Вобщем думаю, технически, (если не говорить о приказах и прочих организационных мерах, для осуществления которых админом быть не нужно) поставленную задачу можно решить:   1 применив умные железяки(роутеры со встроенными файрволами) 2  либо гибко изменить права юзверей На мой взгляд, оба варианта хороши, конкретный выбор зависит от конкретной ситуации.   Принцип администрирования - прав должно быть не больше, чем нужно что бы можно было нормально работать. Всего записей: 73 | Зарегистр. 03-03-2006 | Отправлено: 10:05 21-04-2006 | Исправлено: AskeT 13, 10:07 21-04-2006

stanru1 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если рабочие станции под управлением WindowsXP, можно воспользоваться встроенным фаерволом. Кстати да, и разрешить на нем исходящий трафик только с правильного ип! Фаервол этот можно настроить групповыми политиками Всего записей: 124 | Зарегистр. 20-10-2004 | Отправлено: 10:36 21-04-2006

Teo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Maele7 вроде у тебя запрещён протокол https Цитата: Как поведет себя DHCP сервер, когда в сети появиться комп с адресом таким же как и тот комп для которого есть резервирование( резервированый комп допустим отключен), но с левым МАКом??? если ты выделяешь ип на основе известных МАКов, то комп просто будет виден в сети под ипом, который не входит в диапазон раздаваемых сервером адресов бороться можно ток если статикой на свитче прописать привязку МАКа на порту или создать диапазон "известных" МАКов там же, тогда свитч просто не пропустит комп с левым МАКом Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 11:43 21-04-2006

AskeT 13 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору TEO Либо ты меня не понял, либоя не так обьяснил=) Интересует вот что. На DHCP создана область. В ней есть диапазон для выдачи. 192.168.0.1 - 192.168.0.5 например. И есть диапазон исключения 192.168.0.1 - 192.168.0.5.   есть резервирование 192.168.0.1 - ff-ff-ff-ff-ff-ff                                  192.168.0.2- bb-bb-bb-bb-bb-bb Вот. Сервер не даст никому никаких адресов, кроме компов с маком ff-ff-ff-ff-ff-ff   и bb-bb-bb-bb-bb-bb. Так вот если на каком нибудь третьем компе с МАКом ee-ee-ee-ee-ee-ee , поставить ручками адрес 192.168.0.2 когда комп с МАКом bb-bb-bb-bb-bb-bb будет отключен. Что произойдет???? Фактически то в данный момент адреса 192.168.0.2 нет, но с другой стороны сервер может держать у себя таблицу и посылать в сеть, что типа такой адрес есть, но он отключен. Вот энто пожалуйста прокоментируйте=) Всего записей: 73 | Зарегистр. 03-03-2006 | Отправлено: 11:59 21-04-2006

Vby Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Maele7 Цитата: Можно подробнее?За что отвечает этот HTTPS ? HTTPS — расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в протокол SSL или TLS, тем самым обеспечивается защита этих данных. В отличие от HTTP, HTTPS использует TCP порт 443. Всего записей: 783 | Зарегистр. 16-09-2004 | Отправлено: 01:32 22-04-2006

Teo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору AskeT 13 да, я, видать не так понял... давай рассуждать логически итак, комп с известным серверу маком выключили, назовём его А злодей обладает компом В, который с другим маком. Он назначает ему адрес, имеющийся в списке зарезервированных на сервере далее злодей включает свой комп В в розетку и получает полноценный доступ к сети со всеми правами владельца компа А сервер, не получив запроса на выделения адреса, останется в стороне поэтому бороться с таким положением можно только составлением списка известных маков и сообщением его свитчу. свитч просто не пустит в сеть "неизвестный" мак, да ещё и админу сообщит о происшествии. вариант подешевле - на сервере установить прогу (я как-то писал такой скрипт на перлике, да недописал до такой функциональности), которая просканирует сеть (может, пассивно даже), по выясненным макам узнает ипы, по последним - адреса компов и составит список (я кидал в базу) далее, как только появляется в сети комп с "левым" маком, он тут же "засветится" недостатки есть. комп В может сменить одновременно и мак и ип и имя. Тогда его "словить" труднее и на 3 уровне, видимо, уже не получится Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 10:54 22-04-2006

KYjIXaKEP Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Teo AskeT 13 пасиба вам. разъснили ситуацию... а если с помощью iptables на сервере сделать свзку мак-ип? тогда туда не сможет пролезть комп В (если канешно не изменит он свой мак). а можно ли еще сделать привязку к имени компа??? NETBIOS name кажется. или сканер есть ли(здесь уже без разницы кака ось ВИН иль Линух) чтобы сканировал по заданному времени ипы и маки в сети??? Всего записей: 131 | Зарегистр. 18-07-2005 | Отправлено: 12:56 23-04-2006

AskeT 13 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ребята! А что скажете про такой вариант? Написать прогу. Инсталится на комп юзверя(клиент), работает в фоновом режиме, то есть окон не видно. Каждые 10 минут запрашивает у системы текущий Айпи и заносит значение в реестр или ини-файло. В случае если текущее и записанное ранее значения отличаються, посылает админу(серверная часть) сообщение, типа адрес сменился с такого на такой, админ анализирует ситуацию, и в случае необходимости, идет дрючить подлеца=) Сервер каждые 10 минут посылает клиентам опрос, что бы исключить самовольное завершени проги юзверем, какой комп не ответил, значит прогу нашли и рубанули, опять админ анализирует, и в случае необходимости идет дрючить=) Как отличить когда рубанули прогу, а когда комп, что бы не дергаться зря. Очень просто, когда система завершает работу, она посылает сообщение всем работающим приложениям, что типа рублюсь, эта прога ловит сообщение системы, и посылает сообщени серверу, типа комп отключается, на опросы отвечать не буду. Инсталить можно так: Сделать общий ресурс. Поместить туда файлы этой проги. В скрипт входа написать. 1.Подключение сетевого диска(net use z:  \\server\proga) 2.Копирование файлов проги на комп юзверя(xcopy z:\*.* c:\windows\system32\*.*) 3.Запуск проги(c:\windows\system32\proga.exe) 4.Отключение сетевого диска(net use z: /delete) Одним словом как и сетевая установка радмина. Все. В принципе гимора не много, и проблему думаю решит=) Юзвери могут и не узнать, что у них такая штука работает, и будут удивлены, когда их моментально вздрючат.   О! Я тут просмотрел посты, и заметил, Teo уже предлагал програмно решить проблему. Приношу извинения за неумышленный плагиат=) Всего записей: 73 | Зарегистр. 03-03-2006 | Отправлено: 10:27 24-04-2006 | Исправлено: AskeT 13, 16:22 25-04-2006

AskeT 13 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: В ISA можно сделать авторизацию в том числе по имени юзера в домене и раздачу трафика привязать к именам. Это если у тебя с инетом проблемы. А ежели у тебя юзвери меняют Айпишники и в локальной сети беспределят, вряд ли поможет ISA Всего записей: 73 | Зарегистр. 03-03-2006 | Отправлено: 13:30 24-04-2006

AskeT 13 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору SergR Привет! Ежели честно, с ISA не работал, могу заблуждаться, но он вроде как для выхода в инет???(NAT,Proxy и прочие функции). А локальный трафик он не затрагивает. Или я ошибаюсь??? Всего записей: 73 | Зарегистр. 03-03-2006 | Отправлено: 09:27 25-04-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Тема превращается в тему из рязряда "обо всём".   Начали за здаравие: Цитата:   Как запретить подмену IP адресов в локальной сети?   закончили за упокой: Цитата:   Вроде как в этой теме именно про инет и идет разговор   Это к вопросу о том, что пишем,а не читаем (это не обращение к кому-то лично, а констатация факта )   Дабы не нарушать правил, свои пять копеек. Когда необходимо сделать сабж, то в первую очередь оценивают возможности и необходимость. Если эта сеть из более чем 100 компов, то это однозначно MAC-секьюрити + DHCP. Если это мелкая сеть, то это DHCP+arp -a, с периодичекой проверкой. Да и в мелких сетях ИМХО такое нафиг не надо. Далее, если это корпоративная сеть, то отбираем права админа и живем спокойно, сабжевой проблемы вообще нет. Если это домашняя сеть, что при появлении кулхацкеров просто отрубаем их от сети, перезав проводок. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 15:34 25-04-2006

Страницы: 1 2 3 4

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Борьба против подмены IP адресов в локальной сети

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование