The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"подменой МАС-IP воруют гигабайтЫ трафика"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от Anachoret emailИскать по авторуВ закладки on 05-Дек-02, 23:14  (MSK)
Уважаемые UNIX-гуру помогите пожалуйста решить проблему сети. За последнюю неделю одним из подключенных к нету юзверей было похищено 25 гигабайт. Изначально действовала привязка всех юзверей по критерию MAC-IP. Взломщик элементарно перепрошил макушник на своей сетевухе и стал выходить в инет под чужим айпишником. В итоге деньги насчитались другому человеку (типичная ситуация...:-( надо срочно эту проблему решить паралирование доступа в инет ОТПАДАЕТ по некоторым причинам ... мне в голову приходит только вариант (из бюджетных) организовать на сегменте, где может быть хакер еще один роутер и поставить на нем IPFW с правилами доступа в нет только тем айпишникам которые будут находиться в этом сегменте, таким образом это сократит спектр IP адресов под которыми можно выйти в инет (примерно мы представляем где может находится этот хакер). А теперь дело за технической реализацией: поставить сервак мы поставим, IPFW установим и правила на нем пропишем,...
да вот как сделать так, чтобы не менять шлюз прописанный на машинах у юзверей (осн. сервер) на IP адрес нового роутера. Да ивообще как можно организовать роутинг по вновь установленному серверу учитывая , что роутить придется в одной IP-сети ведь нельзя поставить на одной машине два интерфейса с IPшниками одной сетки...?
то есть иными словами нужно прописывать интерфейсы на этом роутере и возможно какие правилы маршрутизации надо создавать чтобы не пришлось менять шлюз на клиентских машинах на новый??? (роутер должен быть невидим -прозачен для юзверей этого сегмента)!!!!!
Помогите пожалуйста... сами понимаете попадаю на деньги!!!
IP-network-212.48.149.128-255
mask 255.255.255.128
mainrouter 212.48.149.129
В надежде на скорый ответ и благодарностью за него.
Константин.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от iiws emailИскать по авторуВ закладки on 06-Дек-02, 08:21  (MSK)
>Уважаемые UNIX-гуру помогите пожалуйста решить проблему сети. За последнюю неделю одним из
>подключенных к нету юзверей было похищено 25 гигабайт. Изначально действовала привязка
>всех юзверей по критерию MAC-IP. Взломщик элементарно перепрошил макушник на своей
>сетевухе и стал выходить в инет под чужим айпишником. В итоге
>деньги насчитались другому человеку (типичная ситуация...:-( надо срочно эту проблему решить
>паралирование доступа в инет ОТПАДАЕТ по некоторым причинам ... мне в
>голову приходит только вариант (из бюджетных) организовать на сегменте, где может
>быть хакер еще один роутер и поставить на нем IPFW с
>правилами доступа в нет только тем айпишникам которые будут находиться в
>этом сегменте, таким образом это сократит спектр IP адресов под которыми
>можно выйти в инет (примерно мы представляем где может находится этот
>хакер). А теперь дело за технической реализацией: поставить сервак мы поставим,
>IPFW установим и правила на нем пропишем,...
>да вот как сделать так, чтобы не менять шлюз прописанный на машинах
>у юзверей (осн. сервер) на IP адрес нового роутера. Да ивообще
>как можно организовать роутинг по вновь установленному серверу учитывая , что
>роутить придется в одной IP-сети ведь нельзя поставить на одной машине
>два интерфейса с IPшниками одной сетки...?
>то есть иными словами нужно прописывать интерфейсы на этом роутере и возможно
>какие правилы маршрутизации надо создавать чтобы не пришлось менять шлюз на
>клиентских машинах на новый??? (роутер должен быть невидим -прозачен для юзверей
>этого сегмента)!!!!!
>Помогите пожалуйста... сами понимаете попадаю на деньги!!!
>IP-network-212.48.149.128-255
>mask 255.255.255.128
>mainrouter 212.48.149.129
>В надежде на скорый ответ и благодарностью за него.
>Константин.

если есть свич хаб,рассмотри вариант - cоздать на его порту VLAN и прописать туда нужные ip, тогда юзверь в другую сеть не вылезет

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от samuil Искать по авторуВ закладки on 06-Дек-02, 12:16  (MSK)
>если есть свич хаб,рассмотри вариант - cоздать на его порту VLAN и
>прописать туда нужные ip, тогда юзверь в другую сеть не вылезет
>

Комутаторы  постоянно обновляют свою базу данных.
Если я не ошибаюсь в крутых комутаторах есть интесная возможность отключить обновление на некоторые порты. Таким образом обновление подозрительных портов выключить, и любой новый MAC будет отвергнут на этом порту.
вычитал на 3com 3300 по англицки. Если кто делал это поправьте...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от iiws emailИскать по авторуВ закладки on 06-Дек-02, 08:35  (MSK)

чтобы поймать того юзверя глянь на arpwatch
Программа позволяющая отследить пользователей самовольно присвоивших себе IP адрес, путем мониторинга изменений в таблице ARP. Информация об обнаруженных инцедентах направляется администратору на email и сохраняется в лог файле.

http://www.opennet.ru/opennews/art.shtml?num=114&showsection=10_

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от phoenix Искать по авторуВ закладки on 06-Дек-02, 09:47  (MSK)
Сто раз уже говорили mpd или poptop!!!!!
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от uldus Искать по авторуВ закладки on 06-Дек-02, 10:04  (MSK)
>быть хакер еще один роутер и поставить на нем IPFW с
>правилами доступа в нет только тем айпишникам которые будут находиться в
>этом сегменте,

Не настраивай маршрутизацию, просто настрой бриджинг, IPFW прекрасно умеет фильтровать пакеты проходящие транзитом через bridge.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от Ilia emailИскать по авторуВ закладки on 06-Дек-02, 13:02  (MSK)
Можете считать это платой за собственную некомпетентность. Ничего личного, Константин, я имею в виду вашу фирму, а не Вас. Кто вам сеть проектировал? Недоучившийся студент? Привлечь квалифицированных специалистов - денег пожалели? Скупой платит дважды.

"Сие да послужит орлам уроком" (Салтыков-Щедрин)

Отвечая по делу - перестраивайте сеть, используйте PPPoE + Radius. И ваши проблемы с биллингом и учётом уйдут в прошлое.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 06-Дек-02, 16:11  (MSK)
>Можете считать это платой за собственную некомпетентность. Ничего личного, Константин, я имею
>в виду вашу фирму, а не Вас. Кто вам сеть проектировал?
>Недоучившийся студент? Привлечь квалифицированных специалистов - денег пожалели? Скупой платит дважды.
>
>
>"Сие да послужит орлам уроком" (Салтыков-Щедрин)
>
>Отвечая по делу - перестраивайте сеть, используйте PPPoE + Radius. И ваши
>проблемы с биллингом и учётом уйдут в прошлое.

Есть цивильная ссылочка по PPPoE + Radius, цельная ? Пожалуйста.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от Ilia emailИскать по авторуВ закладки on 06-Дек-02, 22:16  (MSK)
>Есть цивильная ссылочка по PPPoE + Radius, цельная ? Пожалуйста.

Не-а, не видел :(
Хотя, наверняка где-то есть. Посмотрите на ресурсах. Начните с google.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: подменой МАС-IP воруют гигабайтЫ трафика"
Сообщение от Spirit Искать по авторуВ закладки on 07-Дек-02, 00:27  (MSK)
>Есть цивильная ссылочка по PPPoE + Radius, цельная ? Пожалуйста.

Цельной не видел, а про PPPoE можно кое-что вот тут:
http://www.unixfaq.ru/index.pl?id=79

радиус прикручивается стандартным способом...


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру