Борьба с нелегальными подключениями

[indigo 0]

Пиплы, кто как борется с нелегалами ? ( на уровне софта) знаю что есть примочка ( IPCOM пользуется, но делиться не захотели) которая позволяет отслеживать маки, и по табличке регистреных дает юзеру или не дает занять ип адрес. Типа на вопрос у кого х.х.х.х отвечает что у меня, если мака не знает. Конечно не 100% защита, но в 90 из 100 случаев юзверя не знают как менять мак.

Короче, есть ли у кого такое чудо или еще какие методы есть ?

[XoRe 0]

Если используется сервер на *nix, то жесткую привязку mac и ip адресов может делать команда arp с параметрами -s и pub (man arp).

Отслеживание mac адресов делает программа arpwarch ( в портах фряхи или http://ya.ru ).

Запретить пользователям использовать фонарные ip адреса из сетки C класса можно простым скриптом, который будет 254 раза выполнять команду arp и будет каждому ip адресу присваивать либо существующий mac, либо mac типа 00:00:00:00:00:00.

У меня на шлюзе работает такая привязка.

Если используется сеть класса B, то точно сказать не могу, осилит ли arp 65535 или более записей.

Не пробовал.

 

Кроме этого, не забывайте, что 2 пользователя могут договориться использовать свою адресацию.

Например, один пользователь ставит себе адрес 1.1.1.1, а другой ставит себе 1.1.1.2 и оба используют маску 255.255.255.252.

В этом случае очень сложно узнать, что они вообще такое сделали.

А если у обоих на компах используются *nix, которые не передают бродкастов в сеть, то вообще невозможно.

 

100% защиту от нелегалов могут дать только умные свичи, которые будут осуществлять привязку ip к mac адресу "на местах".

[indigo 0]

Спасибо, но это приемы общеизвестные. Наверное некорректно поставил вопрос. Мне надо хватать АРПы которые ОС бросает в сеть перед тем, как назначить себе ИП. А я на них должен отвечать , если я не знаю этого мака, что у меня такой ип. Сль-но тачка не сможет поставить себе ни один ип адрес. Т.е. тут работа на уровне обработки низкоуровневых протоколов.

[ALi_ajar 0]

А не проще будет отвечать каждому кто включился , и в зависимости от мак адреса/роутера давать или не давать доступ , т.е. можно к примеру выдавать адрес из 10 сетки и направить все запросы с этой сетке только на один сайт... при этом фиксировать мак и свитч/порт на который пришел запрос

[indigo 0]

Дык свитчи другие надо. А у меня вся сетка на каньенах и на планетах по8.16 портов. Как я с них вытяну помер порта ?

 

Люди, мож у кого есть софт , позволяющий обрабатывать пакеты так, чтоб можно было с маками и прочей низкоуровневой фигней работать ?

[XoRe 0]

tcpdump -eti fxp0 arp

показал, что в сети циркулируют запросы типа

0:a2:b4:74:12:28 Broadcast arp 60: arp who-has 192.168.0.1 tell 192.168.0.123

И ответы

0:2:b3:e7:42:43 0:a2:b4:74:12:28 arp 60: arp reply 192.168.0.1 is-at 0:2:b3:e7:42:43

Т.е. есть какой-то ip спрашивает, какой мак у того-то ip'а.

И ему отвечают - у такого-то ip'а такой-то mac.

 

Других запросов я не видел.

indigo, быть может ты про такие запросы говоришь?

[Sоrk 47]

Вам сюда:

http://www.nongnu.org/ip-sentinel/

ведёт логи кто когда на какой IP и с какого мака, файл настроек с различными привязками.

В принципе обходимо, но как для среднестатистического юзера - хорошая проблема.

[XoRe 0]

2Sоrk: к сожалению, программа только под линукс.

Есть ли похожие разработки под FreeBSD ?

[_Dron_ 0]

А почему не использовать раздачу IP посредством DHCP с привязкой по MAC + к этому подстраховать arp'om?

[XoRe 0]

Потому что dhcp просто помогает компьютеру получить сетевые реквизиты автоматом.

Dhcp не препятствует клиенту самому ставить себе настройки.

 

Маленький пример для ликбеза:

Допустим, я нелегально нахожусь в сети, где провайдер всем раздает адреса из области 192.168.0.0 с маской 255.255.255.0.

Я сижу через друга, который подключен легально.

Я у себя ставлю адрес 192.168.1.1. с маской 255.255.0.0

Захожу на комп друга, смотрю, какие сетевые реквизиты ему присвоились по dhcp и ставлю ему эти реквизиты вручную, с небольшим изменением.

Например, ему выдается ip 192.168.0.5 с маской 255.255.255.0.

Я ему ставлю ip 192.168.0.5 с маской 255.255.0.0.

Если специально это не проверять, то внешне такое изменение маски никак не обнаруживается.

Теперь мой друг может так же лазить по сети и инету, как легальный пользователь.

Кроме того, он может общаться по сети со мной.

Кроме того, другие друзья, которые есть в этой сети, так же могут проделать ту-же операцию у себя на компе, чти на компе моего друга, чтобы видеть мой комп.

Получается, что я пользуюсь сетью нелегально.

Это пример простого нелегального сидения.

 

Чтобы мой компьютер при установке левого ip адреса, сразу получал ошибку конфликта ip адресов, нужно поставить специальное ПО.

 

Для линукса такое ПО нашли.

Теперь хотелось бы найти такое для фряхи.

[indigo 0]

2 XoRe дык там исходники есть . Почему не откомпилить под фряхой ?

[indigo 0]

Sork , огромное человеческое СПАСИБО. :loop: Именно эту прогу использует контора, которая не хотела мне ее давать. Именно ее я искал. Одним из дополнительных ее достоинств является возможность паеренаправлять пакеты. Например ексли есть 2 подсети , то их общение можно реализовать посредством подстановки мак адпеса , т.е. сеть вида 192.168.1.0/24 без маскарада может общаться с сетью вида 192.168.111.0/24.

[centre-lan 1]

я сделал следующим образом:

выделлил маину п2 300

нам выделили адрес 10.144.96.0/24 97.0/24 98.0/24 99.0/24

получилось так что 99 полностью свободный

а предыдущие разданы поименне и под ответственной=)

вбиваю на том тазике адрес ifconfig rl0 alias 10.144.97.2 netmask 255.255.252.0

и так 650 раз.. можно и больше

система ведет себя стабильно .. думаю можно и 6500 таких и 65000

конечно примитивно, но все-же человек получит свой "Конфликт" при попытке подключится..

но человек еще может поставить ип друга (или просто ип) человека которого в данный момент нет в сети - тогда он появляется и начинаются звонки админу.. вот для этого стоит знать всех юзеров по маку..

[centre-lan 1]

Sork , огромное человеческое СПАСИБО. :loop: Именно эту прогу использует контора, которая не хотела мне ее давать. Именно ее я искал. Одним из дополнительных ее достоинств является возможность паеренаправлять пакеты. Например ексли есть 2 подсети , то их общение можно реализовать посредством подстановки мак адпеса , т.е. сеть вида 192.168.1.0/24 без маскарада может общаться с сетью вида 192.168.111.0/24.

роутинг?

[indigo 0]

Да ,Spr1te , что-то вроде того, очень удобно в локалках, не надо делать трансляцию адреса и разные диапазоны видят друг друга под своими адресами. Прога позволяет шлюзовать без указания шлюза на клиентской тачке

[Garik 51]

Да ,Spr1te , что-то вроде того, очень удобно в локалках, не надо делать трансляцию адреса и разные диапазоны видят друг друга под своими адресами. Прога позволяет шлюзовать без указания шлюза на клиентской тачке

Подскажи пожалуйста подробней.

 

Если не сложно, приведи пример.

 

Для того чтобы все работало по тому принципу, который ты указал, подсети должны быть соеденены напрямую без роутеров?

 

ЗЫ:Программа отличная, доки вполне доступно написаны, но описания как юзать ее таким образом я не нашел.

[XoRe 0]

2indigo: потому что не откомпилились.

 

2indigo: а ещё можно просто так общаться (если сети воткнуты в разные сетевухи шлюза) или расширить сетевую маску (если обе сети в одной физической сети)

 

2spr1te: играться с программой arp пробовал?

[indigo 0]

XoRe , безусловно можно и так пооющаться, но бывают ситуации, когда в сетке 3 , 4 шлюза (у меня так) чтоб весь трафик не пропускать через маршрутизирующий шлюз можно эту прогу юзать.

По поводу компиляции -внимательно почитай, если ты этого не делал, файл INSTALL - там есть много параметров касаемо типов ОС и их библиотек . Сам этого не юзал , я на мандрейке но думаю, сто ответ искать надо там.

[indigo 0]

2 qarik Чтоб это работало надо чтоб сети были по разные стороны шлюза.

Пример такой : есть сеть 192,168,152,0/24 есть сервант 152,1 и есть шлюз в сеть 192,168,130,0/24 - 192,168,152,2 . все настроены на шлюз 152,1 там стоит прога . Прога хватает пакеты адресованые в 130-ю сеть и ставит туда мак от 192,168,152,2. Сль-но за 130-м диапазоном 152-й пойдет в шлюз 152,2 , не смотря на то, что этот шлюз на клиентах не прописан.

[S_ergey 21]

Ответьте кто знает как заставить ip-sentinel слушать больше одного интерфейса.

[XoRe 0]

2indigo:

configure: error: "Sorry, build is only supported for GNU/Linux"

Потому и не компилится

[indigo 0]

XoRe , вопросов нет . Сочувствую , прога - супер. Советовать переходить га пингвина не буду - сам ставлю фряху в наиболее ответственных местах.

[indigo 0]

S_sergey указываешь в кач-ве параметра другой pid-файл и другой интерфейс. Т.е. запускаешь вторую копию

[Nab 0]

А если такая схема:

 

Defaultroute в lo.

 

При подключении юзера добавлять правило в таблицу роутинга для конкретного адреса на реальный шлюз.

 

А при обнаружении левого адреса, ставить arp в нули или роутить в lo пока не зарегистрируется.

[indigo 0]

Это конечно можно, но какой смисл ? Когда кто-то подключился к локалке, он может и без шлюзов поюзать ее.Типа : фиг с ними с инетами, я хоть а контр погоняю - все нахаляву