URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 17834
[ Назад ]
Исходное сообщение
"IP+MAC+что-то"
Отправлено NextAngel , 17-Июн-02 08:23 
Уважаемые! У меня в сети система защиты построена на сравнении IP и MAC адреса сетевой карты, но с недавних в моей сети пор появился некто умеющий подставлять под любой IP любой MAC. Нужен простой и надежный способ дополнительной защиты. Кто сталкивался или у кого есть мысли по этому поводу напишите.
Содержание
Сообщения в этом обсуждении
"RE: IP+MAC+что-то"
Отправлено Paul , 17-Июн-02 10:36 
свитчевание сети - самый надежный способ.

меняется MAC + IP банально - ifconfig'ом.

"RE: IP+MAC+что-то"
Отправлено NextAngel , 17-Июн-02 10:40 
>свитчевание сети - самый надежный способ.
>
>меняется MAC + IP банально - ifconfig'ом.


что значит свитчевание??? :))

"RE: IP+MAC+что-то"
Отправлено Paul , 17-Июн-02 12:12 
значит замена существующих хабов на свитчи, которые держат свою
арп-таблицу и жестко связывают карту и порт.
"RE: IP+MAC+что-то"
Отправлено NextAngel , 17-Июн-02 12:18 
>значит замена существующих хабов на свитчи, которые держат свою
>арп-таблицу и жестко связывают карту и порт.

ну ребяты Вы разогнались!!! :))) эти самые свичи стоят френову тучу денег... не рентабельно
должен быть другой выход

"RE: IP+MAC+что-то"
Отправлено A1ik , 17-Июн-02 12:25 
>>значит замена существующих хабов на свитчи, которые держат свою
>>арп-таблицу и жестко связывают карту и порт.
>
>ну ребяты Вы разогнались!!! :))) эти самые свичи стоят френову тучу денег...
>не рентабельно
>должен быть другой выход
OK
IP tunneling + accounting
А вообще на nag.ru было много подобных тем...


"RE: IP+MAC+что-то"
Отправлено NextAngel , 17-Июн-02 12:37 
>>>значит замена существующих хабов на свитчи, которые держат свою
>>>арп-таблицу и жестко связывают карту и порт.
>>
>>ну ребяты Вы разогнались!!! :))) эти самые свичи стоят френову тучу денег...
>>не рентабельно
>>должен быть другой выход
>OK
>IP tunneling + accounting
>А вообще на nag.ru было много подобных тем...


можно по подробней... как что и где. может есть чего почитать по этому поводу. скажу сразу: наг.ру я весь перечитал :)))

"RE: IP+MAC+что-то"
Отправлено Paul , 17-Июн-02 12:34 
ну смотри. как грится "информация должна стоить того, чтобы ее защищать"
"RE: IP+MAC+что-то"
Отправлено NextAngel , 17-Июн-02 13:21 
>ну смотри. как грится "информация должна стоить того, чтобы ее защищать"


полностью с тобой согласен! но! когда активного оборудования по всем веткам 93 штуки..., то подума взять и заменить ЭТО ВСЕ на "умныйе" свичи. Это мало какая организация себе мсожет позволить такие затраты

"RE: IP+MAC+что-то"
Отправлено Forest , 17-Июн-02 13:27 
>>ну смотри. как грится "информация должна стоить того, чтобы ее защищать"
>
>
>полностью с тобой согласен! но! когда активного оборудования по всем веткам 93
>штуки..., то подума взять и заменить ЭТО ВСЕ на "умныйе" свичи.
>Это мало какая организация себе мсожет позволить такие затраты

В нашей сетке сейчас присматриваются к этому девайсу: http://www.ixbt.com/comm/te100-s88e.shtml


"RE: IP+MAC+что-то"
Отправлено shaman , 17-Июн-02 15:31 
Ставь PPTP и не мучайся.
"RE: IP+MAC+что-то"
Отправлено poige , 17-Июн-02 16:52 
>>>ну смотри. как грится "информация должна стоить того, чтобы ее защищать"
>>
>>
>>полностью с тобой согласен! но! когда активного оборудования по всем веткам 93
>>штуки..., то подума взять и заменить ЭТО ВСЕ на "умныйе" свичи.
>>Это мало какая организация себе мсожет позволить такие затраты
>
>В нашей сетке сейчас присматриваются к этому девайсу: http://www.ixbt.com/comm/te100-s88e.shtml


"...
Так как рассматриваемое нами устройство не содержит в себе каких-либо функций управления, и в документации ничего о вышеперечисленных режимах работы, кроме детектирования петель, упомянуто не было, я полагаю, что остальные функции в коммутаторе не задействованы.
..."

"RE: IP+MAC+что-то"
Отправлено eightn , 18-Июн-02 10:44 
>>>ну смотри. как грится "информация должна стоить того, чтобы ее защищать"
>>
>>
>>полностью с тобой согласен! но! когда активного оборудования по всем веткам 93
>>штуки..., то подума взять и заменить ЭТО ВСЕ на "умныйе" свичи.
>>Это мало какая организация себе мсожет позволить такие затраты
>
>В нашей сетке сейчас присматриваются к этому девайсу: http://www.ixbt.com/comm/te100-s88e.shtml


Это неуправляемый свич. Там невозможно привязать ip/mac к порту.


"RE: IP+MAC+что-то"
Отправлено eightn , 18-Июн-02 10:44 
>свитчевание сети - самый надежный способ.
>
>меняется MAC + IP банально - ifconfig'ом.


Мое мнение - vlan или нечто подобное. Оно конечно геморойно по-началу, но когда настроишь.. сказка :)
\
Например
www.freeswan.org - вариации на тему Ipsec (шифрование трафика)

Но есть существенный минус - в win9x/me нет поддержки даже Ipsec клиента.
Возможно надо что то стороннее ставить.

"RE: IP+MAC+что-то"
Отправлено Umka , 18-Июн-02 03:21 
в моей статистике сделано так: если в течении 15-ти минут не прошло ни байта - заблокировать выход в инет, кроме странички статистики. - заходишь в статистику - вводишь логин и пароль - снимаешь галочку и через 1-5 минут ты в инете :)
"RE: IP+MAC+что-то"
Отправлено NextAngel , 18-Июн-02 07:42 
>в моей статистике сделано так: если в течении 15-ти минут не прошло
>ни байта - заблокировать выход в инет, кроме странички статистики. -
>заходишь в статистику - вводишь логин и пароль - снимаешь галочку
>и через 1-5 минут ты в инете :)

:)) мысль интересная, а как отлогинится?

"RE: IP+MAC+что-то"
Отправлено vitex , 18-Июн-02 10:00 
PPPoE(PPP over Ethernet) решает, хотя DOS-атаку при помощи ARP предотвратить без использования VLAN невозможно.


"RE: IP+MAC+что-то"
Отправлено NextAngel , 18-Июн-02 11:33 
>в моей статистике сделано так: если в течении 15-ти минут не прошло
>ни байта - заблокировать выход в инет, кроме странички статистики. -
>заходишь в статистику - вводишь логин и пароль - снимаешь галочку
>и через 1-5 минут ты в инете :)

как ты это реализовал?

"RE: IP+MAC+что-то"
Отправлено Митька , 18-Июн-02 21:56 
>>в моей статистике сделано так: если в течении 15-ти минут не прошло
>>ни байта - заблокировать выход в инет, кроме странички статистики. -
>>заходишь в статистику - вводишь логин и пароль - снимаешь галочку
>>и через 1-5 минут ты в инете :)
>
>как ты это реализовал?

Я сделал немножко другую реализацию:
есть: машина с FreeBSD смотрит одним
концом в инет, другим - в локалку.
Пользователи под Win *****.
Пользователи запускают клиента, клиент логинится на сервер (безопасное соединение), сервер открывает дверцу в инет. Через минуту, если пользователь вновь не залогинился, дверца закрывается.
Все хозяйство реализовано на:
Windows-клиент: Deplhi
FreeBSD: ipfw, perl, mysql, nat/bridge (для разных хитрожопых клиентов, желающих реальный IP), shell, cron.
Итого: независимая от IP/MAC реализация, авторизованный доступ в Интернет, учет трафика по логину / паролю (пользователь  может работать с чужой машину под своим логином), всяческий риск сводится к подбору пароля (скорость перебора ограничена сервером) и минутой бездействия пользователя. Все имеет свою web-морду (и админ, и пользователь), всяческий просмотр трафика и задание ограничений через веб - пожалуйста. К тому же пользователь всю информацию о своём аккаунте сразу видит в своём виндовом клиенте и прочая... прочая... прочая...
Времени на все ушло в одну харю 3 (три) месяца, гемора - основательно...
Вот. Качнулся, типа.
А теперь офтопик: поставил тут сетевуху: 3com905c-tx-m (3c905c-tx). При старте сетки периодически выдает
xl0: watchdog timeout
Что за собака такая и как с ней дружить?
FreeBSD 4.1.1-RELEASE
Ответы на мыло.
vosk@mail.ru

Спасибо

"RE: IP+MAC+что-то"
Отправлено Leo , 29-Авг-02 08:08 

Есть еще вариант - правда он не дешев.

"Информзащита" предлагает систему защиты куда входит Firewall (зелезяка) и клиентский софт (стоит это где то около трех штук баков) так вот этот комплекс позволяет шифровать траффик в локальной сети и это не самое главное чем он занимается.

www.infosec.ru