Я сделал так (идею тоже нашел на этом сайте):1. Создал файл б/д привязки IP к MAC (например /etc/ethers.local)
Пример строк из файла:
192.168.0.11 00:0c:6e:3f:cd:e5 #kasa2
192.168.0.12 00:0d:88:82:da:a2 #mobil
и т. д.
2. Написал скрипт такого содержания: (например /etc/static.arp):#!/bin/sh
# обнуляем всю таблицу arp
arp -ad > null
# к каждому компу в локальной сети привязываем несуществующий (нулевой)
# MAC адрес
I=1
while [ $I -le 254 ]
do
arp -s 192.168.0.${I} 0:0:0:0:0:0
I=`expr $I + 1`
done
# к реально существующему компу в сети из базы данных в файле
# /etc/ethers.local привязываем
# правильный MAC адрес
arp -f /etc/ethers.local3. Делаем этот файл исполняемым и прописываем в файл /etc/rc.local такую
строчку:/etc/static.arp
Еще желательно, чтобы привязки имен юзерских хостов к ip-адресам были
прописаны в /etc/hosts (это ускорит их поиск). Теперь сервер не будет
рассылать широковещательные запросы о локальных MAC адресах, т. к. все они
статически жестко привязаны к ip-адресам. Этим убивается два зайца: не
рассылаются широковещательные запросы, что экономит траффик и время
на ответ сервера, и не позволяет пользователю менять свой ip-адрес,
т. к. сервер все равно пакет будет отправлять на жестко привязанный
MAC адрес.URL: http://www.opennet.ru/openforum/vsluhforumID3/1076.html#18
Обсуждается: http://www.opennet.ru/tips/info/750.shtml
Если бы ещё это работало на WinXP и Win2000 :)
Что мешает поменять срази И ip-адрес И mac-адрес???
Ответ: НИЧЕГО.
Если у пользователя на данных системах есть права на изменение IP-адреса, то и MAC-адрес он так же
легко изменит на несколько секунд, даже не перегружая компьютер. Ну отловит arpwatch изменение, когда нет меня на работе, узнаю ПОТОМ об этом. Заблокировать-то этот сеанс он не сможет.
Это же не циска или интеллектуальный свитч с привязкой адрес/порт.
А я сделал немного совсем иначе. У меня работал ISC-DHCP с привязкой IP-MAC; так что данные я брал прямо из dhcpd.conf, преобразовывая через grep и sed. Из того же dhcpd.conf я делал DNS-зоны (прямую и реверсную) для раб.станций.
Ну и толку что там у Вас на сервере. Я как клиент ставлю себе чужой IP+MAC вручную и работаю от чужого имени независимо от наличия DHCP сервера.
если уж dhcp, то брать из leases
зачем такие сложности?arp -f /etc/ethers
Эм... Мониторить юзера меняющего МАС можно по разному. Ничего не мешает ему его сменить. Согласен. И вычислить это тяжело. Определяется это только косвенным путем. Можно отловить на том, что он забыл поменять имя компа, тогда при выводе статы arp выдаст подмену (если ранее велись логи arp). Можно поймать на коннекте к известному внутреннему серверу ника с другого IP. В общем, если они нас обманывают, то и мы должны поступать также! ;)А еще можно поставить на мониторинг весь arp траффик и смотреть (анализируя логи) в случае обращения о подмене и краже $$$ сначала на логи сессий биллинга (надо же узнать когда инет был украден), а потом и на arp базу. Там сделать запрос по времени и посмотреть кого из МАСов небыло ;)
Для реализации последнего нужно всего лищи сбрасывать ARP траф в БД. Кто как конкретно делать будет я не знаю, но нечто подобное я организовал у себя в сетке. Знаете, помогает, что самое интересное :)--------------------------------
А по поводу статьи... Она более подходит для улучшения уровня безопастности, например, маршрутизатора, который не должен отвечать на запросы посторонних, а должен только перебрасывать трафик от одного такого же роутера к другому.
Это ИМХО...
Привязка ip адреса к мак адресу не является препятствием для человека, которому нужно поменять себе ip адрес в сети.
По этому она _может_ служить _дополнением_ к авторизации по логину+паролю.А реализована она может быть хоть на sh, С, хоть на Ассемблере.
На одном форуме нашел вот такое решение:
----------------
Цитата:
Небольшое письмо от Romana Y. Bogdanova:
... Сегодня обнаружил интересную штуку для FreeBSD начиная с 4.10 (стабильная ветка). В ней появилась замечательная возможность настройки интерфейсов для homenet провайдеров. Режим, когда интерфейс отвечает только на те адреса, которые статически записаны в ARP таблицу машины.Вот кусок из ifconfig:
staticarp If the Address Resolution Protocol is enabled, the host will only reply to requests for its addresses, and will never send any requests.
-staticarp If the Address Resolution Protocol is enabled, the host will per- form normally, sending out requests and listening for replies.
поподробнее можно?
-------------------------
vi /etc/rc.conf
ищете строчки типа ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0" и добавляете в них staticarp. После этого создаете в каталоге /usr/local/etc/rc.d файл arp.sh с примерно следующим содержимым:#!/bin/sh
arp -s 192.168.1.2 00:00:00:00:00:00 # Vasya
arp -s 192.168.1.3 11:11:11:11:11:11 # PetyaПосле этого перезагружаете маршрутизатор или если перезагружать не хочется, то запускаете просто файлик /usr/local/etc/rc.d/arp.sh и говорите ifconfig xl0 +staticarp.
В результате пользователь Vasya никогда в жизни не сможет себе назначить ip-адрес пользователя Petya, или если точнее - он не сможет с этип ip-адресом пройти дальше маршрутизатора. Клиенты довольны, кул хацкеры в унынии. Voila.
-----------Чем это принципиально отличается от сабжа?
>На одном форуме нашел вот такое решение:
>Чем это принципиально отличается от сабжа?
Яйца - вид сбоку :-))
вот это забавно:
arp -ad > null
Может быть не совесм по теме, но вопрос такй:
большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать от виича вручную!!! Но это же ... Ну в общем понятно что не катит.
На серваке работает DHCP, но это никак не помешает поставить ИП руками.
Предложеным вами методо можно блокировать доступ к серверу, но к шарам юзверей доступ то останется.
Как быть?
>Может быть не совесм по теме, но вопрос такй:
>большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые
>свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать
>неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать
>от виича вручную!!! Но это же ... Ну в общем понятно
другого метода не существует. если данные гоняются только на физическом уровне (кабеля), то и отрубать можно только на физическом. если лень ходить пешком к свичам сделайте какой-нить самодельный комутатор, можно смастерить на реле и управлять набором DTMF сигналов разной частоты используя свободную пару проводов в кабеле который идёт к вашему офису (каждому юзеру присвоить частоту НЧ сигнала) или возможно проще простешее пересчётное устройство (K155ИД3) которое управляет усилителями тока на транзисторах для реле. В любом случае стоимость одного такого комутатора на 8 портов будет в пределах $20.
>>Может быть не совесм по теме, но вопрос такй:
>>большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые
>>свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать
>>неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать
>>от виича вручную!!! Но это же ... Ну в общем понятноПодумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплательщикам. Как что-то получится - расскажу.
>Подумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплательщикам. Как
>что-то получится - расскажу.
ну выдашь ты им неправильные пары. это ничего не изменит. если хакар, то он поменяет ПАРУ IP+MAC. И Твоя замена останется тебе. Если он начинающий, то он не сможет только смотреть ресурсы на сервере.
и все. вся остальная сеть ему доступна.
Вообще странный подход к проблеме -когда пользователи подключаются к ДС они платят как правило баксов 50( стоимость порта в свитче,кабеля,плюс его прокладка итд) логично предположить что пользователь может легко заявить права на уже уплаченное. стало быть внутрисетевые шары для него бесплатны,а интернет платен вот и вся логика,а руководствоваться жадными помыслами своими -не есть гуд.
А можно сначала: какая задача решается таким способом?
Я сделал так:
2 типа предоставляемых ресурсов в ДС:
- Инет
- Локал
У каждого абонента есть доступ к странице с билингом - где он может (должен) блокировать/разблокировать свою учетную запись при окончании/начале работы. Эта блокировка ведет к добавлению его ip в писок доступных Iptables шлюза (через выполнение скрипта). Локал пока бесплатна, но можно и перед ней поставить шлюз и через тот-же скрипт определять список разрешенных IP.
Таким образом вся отвественность за то, что кто-то может подменить ip и сходить в инет за счет честного абонента лежит как раз на совести этого честного абонента. Не заблокировал за собой запись - сам виноват. Как дверь домой не закрыл.
Стоит тока один раз пройтись кому-то по чужим учетным записям - как сразу все начинают прислушиваться к этим правилам. И не надо никакого гемора с отлавливанием хакеров...
Спасение утопающего - дело рук самого утопающего! :)
Технически на 100% данная проблема НЕ РЕШАЕМА.
Обеспечение безопасности решается оргмерами: закрытие неиспользуемых портов на свитчах, охрана производственных помещений. Не должно быть ни одной пары, розетки или порта, доступного несанкционированным образом. И все равно это не 100%!
не страдайте. найкращий варіант використовувати РРРоЕ. заборгував юзер - забанив акаунт.
Меня данная проблема мучает уже два года.
Умный свич проблему не решает народ атакует его
буфер.Да и дорогое это удовольствие если сеть большая.PPPoE или программы типа 'stargazer'
для ДС более приземленные варианты.
1)Умные свитчи при атаке на порт умеют его отключать.
2)Умные свитчи - от 500 у.е за 24 порта.
Кто или что мешает VPN использовать ?
А как можно защитить несанкционированный доступ к VPN в случае кражи пароля? У меня как раз такой сервер, только что озадачился этим вопросом...
>А как можно защитить несанкционированный доступ к VPN в случае кражи пароля?
>У меня как раз такой сервер, только что озадачился этим вопросом...
>
А как можно защитить несанкционированный доступ к квартире
в случае кражи ключа?Точно также-не давать возможность его украсть.
Проще всего не трахацца,а переписать с нуля имплемент арпа,чтобы кормить ему файлик с маками и айпишками.посути без поддержки арпа,как такового.жесто ядру дал таблицу и все
Я сделал так, создал скрипт /usr/local/etc/rc.d/arptable.sh (шаблонно переписав существующий):#!/bin/sh
#
# PROVIDE: arptable
# REQUIRE: NETWORKING SERVERS
# KEYWORD: arptable
#
# NOTE: set arptable_enable="YES" in /etc/rc.conf to enable this
#
name=arptable
command="/usr/sbin/arp"start_cmd="arptable_start"
stop_cmd="arptable_stop"
arptable_enable=${arptable_enable:-"NO"}
arptable_config=${arptable_config:-"/etc/arptable.conf"}arptable_stop() {
$command -ad
}arptable_start() {
$command -f $arptable_config
}. /etc/rc.subr
rcvar=`set_rcvar`
load_rc_config ${name}run_rc_command "$1"
после этого в /etc/arptable.conf прописал IP и MAC-адреса в форме:10.11.109.1 00:00:00:00:00:00 pub
10.11.109.53 00:00:00:00:00:00 pub(немного поработав, можно было бы избавиться от необходимости писать pub в конце строки, но, поскольку sed рулит, то проблемы тут нет)
После этих манипуляций в /etc/rc.conf можно вписать
arptable_enable="YES" # включить таблицу соответствия IP-MACarptable_config="/etc/arptable.conf" # откуда берем конфиг. Работает без проблем. И вживляется в систему чисто.
Фигня эти все привязки. меняется за считаные секунды, даже на винде.
я лично юзаю squid с аутентикацией и ssl. практикую и vpn каждому юзеру,тоже неплохо.
Надежно и до лампочки все снифферы итп
Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC? Я использую привязку, но при подключении нового клиента, MAC которого еще не известен, возникает проблема доступа его машины к шлюзу. Может есть что-то вроде arp –s 192.168.0.1 any :)
>Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC?Не задавать для этого IP
>Я использую привязку, но при подключении нового клиента, MAC которого еще
>не известен, возникает проблема доступа его машины к шлюзу.Это очевидно потому, что вы в цикле сделали для всего диапазона привязку к несуществующему адресу
for (( i = 1 ; i < 255; i++ ))
do
arp -s 192.168.0.$i FF:FF:FF:FF:FF:FF
done> Может есть что-то вроде arp –s 192.168.0.1 any :)
да, arp -d 192.168.0.1
Доброй ночи! Может быть я и ошибся темой, но для меня очень актуальна такая проблема:
кто-то ворует траффик на интернет, воруя МАК-адрес, при этом называет компьютер типа ВОРМ или Троян, айпи не меняет.Живу в общежитии. У нас несколько групп безлимитного интернета. Моя группа имеет диапазон адресов от 192.168.10.150(роутер) до 192.168.10.175. Соответственно удивлен был, когда интерес роутера (D-Link DIR-120) обнаружил некого(ую) 192.168.10.189. Через коммандер и команду арп вычислил, что у 189 и у 175 из моей группы один и тот же МАК-адрес. Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора.
Вопрос:
1) можно ли как-то с этим бороться?
2) поможет ли привязка мака к айпи от воровства траффика (просто человек сразу грузит торренты и забивает канал, который рассчитан на 24 человека).Заранее благодарен и прошу прощения, если не там написал сообщение.
>1) можно ли как-то с этим бороться?Можно управляемыми свичами, которые позволяют на физический порт програмировать условия фильтрации (по МАС или диапазону МАС например)
>2) поможет ли привязка мака к айпи от воровства траффика (просто человек
>сразу грузит торренты и забивает канал, который рассчитан на 24 человека).Не поможет.
> Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора.
Не все же 100 ПК включены в один свич, отключение целого сегмента резко сужает круг поиска. Вычислить вора можно не более чем за ~10 отключений.
Но вообще идея аутентификации для доступа в инет через МАС-и нелепа, для этого есть PPPoE или VPN
Сегментами - это вариант, но сегодня я его вижу наиболее геморойным, так как проблемы доступа к свитчам, поэтому я его оставляю заранее на конец.Можно ли сделать аутентификацию через PPPoE или VPN, используя роутер D-Link DIR-120?
Если да, как это можно сделать?П.С. Если пользуешься асей, стукни плиз, если не сложно. 239219697.