>>>>Всем привет! >>>>Завелся у нас в сети некий шалун, развлекается arpspoof-ами и подменой IP >>>>адресов. Найти его нашли, внушение сделали, но помогает это мало... >>>>Есть ли какая либо возможность запретить такие шалости в сети? >>>>Если от подмены MAC адреса еще можно защититься прописав на каталистах жесткое >>>>соответсвие порт-мак, то как можно запретить смену IP адреса? >>> >>>Самое простое- это ограничить его в правах штатными средствами операционной системы. >> >>К несчастью это не возможно - по должности он должен иметь права >>локального админа на машине. >>По поводу привязки mac к ip это реализовано на уровне гейта, машины >>дающей выход в инет и другие подсети, но это не помогает, >>поскольку для скана, снифа и подмены IP он использует ту же >>сеть, в которой сидит и сам, следовательно пакеты через гейт не >>проходят > >Какие свичи используются? >Сейчас многие оные железки умеют резать трафик - кроме того что покажешь >ничего ин не увидит. У цисок называется private vlan, у других >производителей тоже есть интересные фичи - traffic segmentation и прочее. Если есть физический доступ, всё остальное бессильно. Сколько там его IP на каталисте к маку ни привязывай, это всё без толку - подойдёт к свитчу и в другой порт себя воткнёт (вместо кого-нибудь). Предлагаю разделять доступ к ресурсам посредством VPN (pptpd) - дёшево и сердито, и маконезависимо.
|