Перейти до

Борьба с нелегальными подключениями


Рекомендованные сообщения

Пиплы, кто как борется с нелегалами ? ( на уровне софта) знаю что есть примочка ( IPCOM пользуется, но делиться не захотели) которая позволяет отслеживать маки, и по табличке регистреных дает юзеру или не дает занять ип адрес. Типа на вопрос у кого х.х.х.х отвечает что у меня, если мака не знает. Конечно не 100% защита, но в 90 из 100 случаев юзверя не знают как менять мак.

Короче, есть ли у кого такое чудо или еще какие методы есть ?

Ссылка на сообщение
Поделиться на других сайтах

Если используется сервер на *nix, то жесткую привязку mac и ip адресов может делать команда arp с параметрами -s и pub (man arp).

Отслеживание mac адресов делает программа arpwarch ( в портах фряхи или http://ya.ru ).

Запретить пользователям использовать фонарные ip адреса из сетки C класса можно простым скриптом, который будет 254 раза выполнять команду arp и будет каждому ip адресу присваивать либо существующий mac, либо mac типа 00:00:00:00:00:00.

У меня на шлюзе работает такая привязка.

Если используется сеть класса B, то точно сказать не могу, осилит ли arp 65535 или более записей.

Не пробовал.

 

Кроме этого, не забывайте, что 2 пользователя могут договориться использовать свою адресацию.

Например, один пользователь ставит себе адрес 1.1.1.1, а другой ставит себе 1.1.1.2 и оба используют маску 255.255.255.252.

В этом случае очень сложно узнать, что они вообще такое сделали.

А если у обоих на компах используются *nix, которые не передают бродкастов в сеть, то вообще невозможно.

 

100% защиту от нелегалов могут дать только умные свичи, которые будут осуществлять привязку ip к mac адресу "на местах".

Ссылка на сообщение
Поделиться на других сайтах

Спасибо, но это приемы общеизвестные. Наверное некорректно поставил вопрос. Мне надо хватать АРПы которые ОС бросает в сеть перед тем, как назначить себе ИП. А я на них должен отвечать , если я не знаю этого мака, что у меня такой ип. Сль-но тачка не сможет поставить себе ни один ип адрес. Т.е. тут работа на уровне обработки низкоуровневых протоколов.

Ссылка на сообщение
Поделиться на других сайтах

А не проще будет отвечать каждому кто включился , и в зависимости от мак адреса/роутера давать или не давать доступ , т.е. можно к примеру выдавать адрес из 10 сетки и направить все запросы с этой сетке только на один сайт... при этом фиксировать мак и свитч/порт на который пришел запрос

Ссылка на сообщение
Поделиться на других сайтах

Дык свитчи другие надо. А у меня вся сетка на каньенах и на планетах по8.16 портов. Как я с них вытяну помер порта ?

 

Люди, мож у кого есть софт , позволяющий обрабатывать пакеты так, чтоб можно было с маками и прочей низкоуровневой фигней работать ?

Ссылка на сообщение
Поделиться на других сайтах

tcpdump -eti fxp0 arp

показал, что в сети циркулируют запросы типа

0:a2:b4:74:12:28 Broadcast arp 60: arp who-has 192.168.0.1 tell 192.168.0.123

И ответы

0:2:b3:e7:42:43 0:a2:b4:74:12:28 arp 60: arp reply 192.168.0.1 is-at 0:2:b3:e7:42:43

Т.е. есть какой-то ip спрашивает, какой мак у того-то ip'а.

И ему отвечают - у такого-то ip'а такой-то mac.

 

Других запросов я не видел.

indigo, быть может ты про такие запросы говоришь?

Ссылка на сообщение
Поделиться на других сайтах

Вам сюда:

http://www.nongnu.org/ip-sentinel/

ведёт логи кто когда на какой IP и с какого мака, файл настроек с различными привязками.

В принципе обходимо, но как для среднестатистического юзера - хорошая проблема.

Ссылка на сообщение
Поделиться на других сайтах

Потому что dhcp просто помогает компьютеру получить сетевые реквизиты автоматом.

Dhcp не препятствует клиенту самому ставить себе настройки.

 

Маленький пример для ликбеза:

Допустим, я нелегально нахожусь в сети, где провайдер всем раздает адреса из области 192.168.0.0 с маской 255.255.255.0.

Я сижу через друга, который подключен легально.

Я у себя ставлю адрес 192.168.1.1. с маской 255.255.0.0

Захожу на комп друга, смотрю, какие сетевые реквизиты ему присвоились по dhcp и ставлю ему эти реквизиты вручную, с небольшим изменением.

Например, ему выдается ip 192.168.0.5 с маской 255.255.255.0.

Я ему ставлю ip 192.168.0.5 с маской 255.255.0.0.

Если специально это не проверять, то внешне такое изменение маски никак не обнаруживается.

Теперь мой друг может так же лазить по сети и инету, как легальный пользователь.

Кроме того, он может общаться по сети со мной.

Кроме того, другие друзья, которые есть в этой сети, так же могут проделать ту-же операцию у себя на компе, чти на компе моего друга, чтобы видеть мой комп.

Получается, что я пользуюсь сетью нелегально.

Это пример простого нелегального сидения.

 

Чтобы мой компьютер при установке левого ip адреса, сразу получал ошибку конфликта ip адресов, нужно поставить специальное ПО.

 

Для линукса такое ПО нашли.

Теперь хотелось бы найти такое для фряхи.

Ссылка на сообщение
Поделиться на других сайтах

Sork , огромное человеческое СПАСИБО. :loop: Именно эту прогу использует контора, которая не хотела мне ее давать. Именно ее я искал. Одним из дополнительных ее достоинств является возможность паеренаправлять пакеты. Например ексли есть 2 подсети , то их общение можно реализовать посредством подстановки мак адпеса , т.е. сеть вида 192.168.1.0/24 без маскарада может общаться с сетью вида 192.168.111.0/24.

Ссылка на сообщение
Поделиться на других сайтах

я сделал следующим образом:

выделлил маину п2 300

нам выделили адрес 10.144.96.0/24 97.0/24 98.0/24 99.0/24

получилось так что 99 полностью свободный

а предыдущие разданы поименне и под ответственной=)

вбиваю на том тазике адрес ifconfig rl0 alias 10.144.97.2 netmask 255.255.252.0

и так 650 раз.. можно и больше

система ведет себя стабильно .. думаю можно и 6500 таких и 65000

конечно примитивно, но все-же человек получит свой "Конфликт" при попытке подключится..

но человек еще может поставить ип друга (или просто ип) человека которого в данный момент нет в сети - тогда он появляется и начинаются звонки админу.. вот для этого стоит знать всех юзеров по маку..

Ссылка на сообщение
Поделиться на других сайтах
Sork , огромное человеческое СПАСИБО. :loop: Именно эту прогу использует контора, которая не хотела мне ее давать. Именно ее я искал. Одним из дополнительных ее достоинств является возможность паеренаправлять пакеты. Например ексли есть 2 подсети , то их общение можно реализовать посредством подстановки мак адпеса , т.е. сеть вида 192.168.1.0/24 без маскарада может общаться с сетью вида 192.168.111.0/24.

роутинг?

Ссылка на сообщение
Поделиться на других сайтах

Да ,Spr1te , что-то вроде того, очень удобно в локалках, не надо делать трансляцию адреса и разные диапазоны видят друг друга под своими адресами. Прога позволяет шлюзовать без указания шлюза на клиентской тачке

Ссылка на сообщение
Поделиться на других сайтах
Да ,Spr1te , что-то вроде того, очень удобно в локалках, не надо делать трансляцию адреса и разные диапазоны видят друг друга под своими адресами. Прога позволяет шлюзовать без указания шлюза на клиентской тачке

Подскажи пожалуйста подробней.

 

Если не сложно, приведи пример.

 

Для того чтобы все работало по тому принципу, который ты указал, подсети должны быть соеденены напрямую без роутеров?

 

ЗЫ:Программа отличная, доки вполне доступно написаны, но описания как юзать ее таким образом я не нашел.

Ссылка на сообщение
Поделиться на других сайтах

2indigo: потому что не откомпилились.

 

2indigo: а ещё можно просто так общаться (если сети воткнуты в разные сетевухи шлюза) или расширить сетевую маску (если обе сети в одной физической сети)

 

2spr1te: играться с программой arp пробовал?

Ссылка на сообщение
Поделиться на других сайтах

XoRe , безусловно можно и так пооющаться, но бывают ситуации, когда в сетке 3 , 4 шлюза (у меня так) чтоб весь трафик не пропускать через маршрутизирующий шлюз можно эту прогу юзать.

По поводу компиляции -внимательно почитай, если ты этого не делал, файл INSTALL - там есть много параметров касаемо типов ОС и их библиотек . Сам этого не юзал , я на мандрейке но думаю, сто ответ искать надо там.

Ссылка на сообщение
Поделиться на других сайтах

2 qarik Чтоб это работало надо чтоб сети были по разные стороны шлюза.

Пример такой : есть сеть 192,168,152,0/24 есть сервант 152,1 и есть шлюз в сеть 192,168,130,0/24 - 192,168,152,2 . все настроены на шлюз 152,1 там стоит прога . Прога хватает пакеты адресованые в 130-ю сеть и ставит туда мак от 192,168,152,2. Сль-но за 130-м диапазоном 152-й пойдет в шлюз 152,2 , не смотря на то, что этот шлюз на клиентах не прописан.

Ссылка на сообщение
Поделиться на других сайтах

XoRe , вопросов нет . Сочувствую , прога - супер. Советовать переходить га пингвина не буду - сам ставлю фряху в наиболее ответственных местах.

Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

А если такая схема:

 

Defaultroute в lo.

 

При подключении юзера добавлять правило в таблицу роутинга для конкретного адреса на реальный шлюз.

 

А при обнаружении левого адреса, ставить arp в нули или роутить в lo пока не зарегистрируется.

Ссылка на сообщение
Поделиться на других сайтах

Это конечно можно, но какой смисл ? Когда кто-то подключился к локалке, он может и без шлюзов поюзать ее.Типа : фиг с ними с инетами, я хоть а контр погоняю - все нахаляву

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...