Перейти до

Подмена Ip адреса и как с этим бороться?


Рекомендованные сообщения

Есть локальная сеть с несколькими адресными подсетями.

Юзер имеющий адрес ХХ.ХХ.ХХ.51 меняет его на любой другой данной подсети, а абонент имеющий данный IP не может попасть с интернет или локальную сеть, так как его IP в данное время занят.

Как с этим бороться?

Заморозка талицы ARP не может быть оригинальным вариантом, так как у юзеров могут быть на (физическом, т.е. в квартире или офисе) адресе, не только стационарный компьютер, но и несколько ноутбуков, имеющих разные MAC адреса.

Люди добрые помогайте решить проблему, кто сталкивался с такой проблемой!

Ссылка на сообщение
Поделиться на других сайтах

Оборудование Л2 на абонентов ну и вланами изолировать народ между собой или ВПН, вариантов с мыльницами нет если таковы имеются в сети.

Ссылка на сообщение
Поделиться на других сайтах
Оборудование Л2 на абонентов ну и вланами изолировать народ между собой или ВПН, вариантов с мыльницами нет если таковы имеются в сети.

Управляемые свичи на каждый дом и подъезд - это дорогой варинат.

Vlan - это разделение сетей на сегменты, а хотелось бы сохранить общую локальную сеть для всего адресного пространства.

Поднять VPN для доступа в инет можно, но что мешает человеку просто назначить IP из подсети и лазить по локалке или играть в сетевые игрушечки?

Ссылка на сообщение
Поделиться на других сайтах
Можно поигратса с маршрутизатором на дом простеньким какимто из делинка или чего попроше.

DIR-100 - от Бл#-линка с линуксом на борту, немного рашпиля - и даже очень и очень

Ссылка на сообщение
Поделиться на других сайтах
Управляемые свичи на каждый дом и подъезд - это дорогой варинат.

Это дорогой, но единственный вариант.

Точнее класс вариантов.

Локалка на неуправляемых свичах тем и характерна, что она неуправляема.

Это по сути одноранговая сеть.

То, что где-то стоит "главный сервер" - чистая условность.

Это такой же компьютер, как и остальные.

Сеть вполне проживет и без него.

Если на сервер поставить ip-sentinel или ipguard, он просто активно срать в сеть, мешая другим компам сидеть под чужими (по мнению этого сервера) адресами.

Так что "главный сервер" с точки зрения остальных компов - это даже вредный комп.

Мешает остальным сидеть в сети )

 

Так что если хочется управления - надо ставить управляемое оборудование.

Это или умные свичи или всякие микротики.

Ссылка на сообщение
Поделиться на других сайтах

Если проблемма только в том, что машина, айпи которой прописал вредитель - юзайте dhcp. Отпадет привязка конкретного айпи к конкретной машине.

Ссылка на сообщение
Поделиться на других сайтах

есть еще один вариант для сети, построенной на неуправляемом оборудовании

используйте авторизатор для доступа в инет И для доступа к локальным ресурсам

тогда смена ip адреса не поможет бесплатно пользоваться локальными ресурсами

теряется весь смысл смены ip-адреса :)

Ссылка на сообщение
Поделиться на других сайтах
Если проблемма только в том, что машина, айпи которой прописал вредитель - юзайте dhcp. Отпадет привязка конкретного айпи к конкретной машине.

Вы наверное еще просто не ловили ситуацию, когда тупые юзеры включают в сеть устройство с поднятым DHCP :) Например дешевый д-линковый роутер воткнули в сеть не ВАН-портом, а ЛАН. И все, после этого Ваш DHCP-сервер может пойти покурить. Чтобы этого не было, надо на уровень доступа свичи с DHCP-рилеенгом (оно же option82).

Вот и возвращаемся к тому, о чем очень верно сказал XoRe.

Ссылка на сообщение
Поделиться на других сайтах
есть еще один вариант для сети, построенной на неуправляемом оборудовании

используйте авторизатор для доступа в инет И для доступа к локальным ресурсам

тогда смена ip адреса не поможет бесплатно пользоваться локальными ресурсами

теряется весь смысл смены ip-адреса :)

Правильно, верный вариант! Он даже официальное название имеет - 802.1Х, авторизация на порту доступа. Только вот есть эта фича только на управляемых свичах, которые и надо ставить на каждый дом. :)

Ссылка на сообщение
Поделиться на других сайтах

2911:

Смотря что понимать под локальными ресурсами.

Доступ в инет и ко внутренним серверам можно ограничить.

А в локалку на пользовательские машины - нет.

 

2ZNNU:

Юзер может прописать себе ип вручную и пофиг на dhcp.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...