The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Защита от смены IP"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Защита от смены IP"
Сообщение от DSO Искать по авторуВ закладки on 03-Ноя-04, 15:31  (MSK)
Привет всем! проблема вот в чем:
решил привязать IP адреса юзверей к макам.
на сервере все без проблем, а вот у юзверей надоже прописать
arp -s ip_moy_server **-**-**-**-**-**
решил для этого написать bat-ник и вставить его в автозапуск так он ,гад, по циклу запускает команду!
(если из ком. строки запускать команду - все ок)
как это можно победить?? ведь arp запись живет до перезагрузки компа
Заранее благодарен  
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Защита от смены IP"
Сообщение от DSO Искать по авторуВ закладки on 03-Ноя-04, 16:02  (MSK)
Люди ау! кто как добавляет стат. arp записи на компах юзверей??

или все юзают PPPoE? :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Защита от смены IP"
Сообщение от DSO Искать по авторуВ закладки on 03-Ноя-04, 16:13  (MSK)
люди   подскажите кто как добавляет стат. arp запись на компах юзверей??

или все юзают PPPoE? :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Защита от смены IP"
Сообщение от Friker emailИскать по авторуВ закладки(ok) on 03-Ноя-04, 16:31  (MSK)
А ты на сервера пропиши
arp -s ip_server mac_server pub
и он будет у них заменятся...я так думаю.
А если не получится, у батника поменяй имя на слово которого нет в команде , в винде есть такой глюк
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Защита от смены IP"
Сообщение от z3f emailИскать по авторуВ закладки on 03-Ноя-04, 16:25  (MSK)
>Привет всем! проблема вот в чем:
>решил привязать IP адреса юзверей к макам.

Зачем?

>на сервере все без проблем, а вот у юзверей надоже прописать
>arp -s ip_moy_server **-**-**-**-**-**
>решил для этого написать bat-ник и вставить его в автозапуск так он
>,гад, по циклу запускает команду!

Я так понял - windows используем? не адресу тогда вопрос - на другой форум надо идти.
Какая версия винды и в какой автозапуск помещаем? Автозагрузка или через реестр?

>(если из ком. строки запускать команду - все ок)
>как это можно победить?? ведь arp запись живет до перезагрузки компа
>Заранее благодарен


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Защита от смены IP"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 03-Ноя-04, 16:30  (MSK)
Тут был пост ipfw2 против подмены
Всякого рода VPN.
У тебя батник имеет какое имя? Оно не должно совпадать с именем системной команды
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Защита от смены IP"
Сообщение от Mranton Искать по авторуВ закладки(??) on 03-Ноя-04, 18:40  (MSK)
согласен с предыдущим оратором. ВПН - форева!
для домашних сетей, когда пользователю нельзя дать по рукам, это единственная возможность(про управляемые свичи разговор не идет) решить проблему идентификации юзера. если у пользователя стибрили(через дырки в винде) пароль, то это уже не твоя проблема.

если ты работаешь в организации, тогда надо принемать административные меры к нарушителям, т.е. бороться с причиной, а не со следствием.

удачи

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Защита от смены IP"
Сообщение от DSO Искать по авторуВ закладки on 04-Ноя-04, 08:39  (MSK)
Огромное спасибо всем откликнувшимся! отвечу сразу всем. на сервере FreeBsd поэтому вопрос в тему:) у юзверей ессно винды, причем от 95 до XP.
у бат-ника поменял имя: работает как надо.
ночью пришло решение прописать эту команду в autoexec. буду пробовать, хотя конечно в лом по всем клиентам бегать, и лучше-бы на сервере это сделать, но вряд-ли получиться.
VPN поднимать как-то пока неохота:) пока малой кровью попробую ограничиться.

Полность согласен с Mranton
но я работаю админом в вузе, поэтому есть своя специфика - каждого студента и сотрудника на кафедре не отследишь:) да и нет пока такой задачи. Пара управляемых свичей есть, но на всю сеть их не напасешся(
А так защитимся от не очень продвинутых юзверей, и от ошибок тех. отдела:)

Ходит шальная мысль перевести сеть на AD, пока думаю на чем:
Free & Win2003? (хотя такие вопросы на этом форуме задавать, самоубийцей надо быть :)) )

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Защита от смены IP"
Сообщение от Grayich emailИскать по авторуВ закладки(??) on 04-Ноя-04, 09:06  (MSK)
>буду пробовать, хотя конечно в лом по всем клиентам бегать

ничего непонимаю...  во первых нафига батники запускать у юзверей ?
во вторых если это что то должно дать (в плане привязки MAC=IP), то что стоит юзверю снести этот батник ?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Защита от смены IP"
Сообщение от DSO Искать по авторуВ закладки on 04-Ноя-04, 09:37  (MSK)
>>буду пробовать, хотя конечно в лом по всем клиентам бегать
>
>ничего непонимаю...  во первых нафига батники запускать у юзверей ?
>во вторых если это что то должно дать (в плане привязки MAC=IP),
>то что стоит юзверю снести этот батник ?
вы не совсем поняли. если на компе юзверя НЕ прописать соответствие IP- MAC рутера, то юзверь не видит его. т.о. они сами жизненно заинтересованы в сохранности настроек :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Защита от смены IP"
Сообщение от Xela emailИскать по авторуВ закладки(ok) on 04-Ноя-04, 09:49  (MSK)
>>>буду пробовать, хотя конечно в лом по всем клиентам бегать
>>
>>ничего непонимаю...  во первых нафига батники запускать у юзверей ?
>>во вторых если это что то должно дать (в плане привязки MAC=IP),
>>то что стоит юзверю снести этот батник ?
>вы не совсем поняли. если на компе юзверя НЕ прописать соответствие IP-
>MAC рутера, то юзверь не видит его. т.о. они сами жизненно
>заинтересованы в сохранности настроек :)

Это почему же он его не увидит, простите???

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Защита от смены IP"
Сообщение от DSO Искать по авторуВ закладки on 04-Ноя-04, 10:39  (MSK)
>Это почему же он его не увидит, простите???

потому и не видит, что так задумано:)

Добавляем флаг -arp на интерфейс:

ifconfig fxp0 -arp
и в файле /etc/rc.conf:

ifconfig_fxp0="inet 192.168.1.1 netmask 255.255.255.0 -arp"
Создаем файл, в котором прописываем соответствия ip и MAC-адресов (например, /etc/ether.local) такого вида:

192.168.1.2    00:80:23:5F:65:8C
192.168.2.3    00:5C:67:9A:55:5B
. . .

Очищаем arp-кэш и загружаем статическую таблицу:

arp -ad
arp -f /etc/ether.local

и добавляем последнюю команду в /etc/rc.local

Теперь на этом интерфейсе arp не работает вообще. То есть не только не принимаются обновления в arp-кэш, но и не отсылаются ответы на запросы arp who-has. А это значит, что и на клиентских машинах необходима статическая запись соответствия ip и MAC-адресов маршрутизатора !!!. На Windows-машинах это делается записью вида:
arp -s 192.168.1.1 00-79-36-FC-09-0F

проблема была как раз в этом

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Защита от смены IP"
Сообщение от Grayich emailИскать по авторуВ закладки(ok) on 04-Ноя-04, 10:47  (MSK)
мдя...  а к чему все это ? если несекрет.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Защита от смены IP"
Сообщение от Friker emailИскать по авторуВ закладки(ok) on 04-Ноя-04, 10:55  (MSK)
>мдя...  а к чему все это ? если несекрет.


ты и тут свой нос засунул :)
доброе утро!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Защита от смены IP"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 04-Ноя-04, 11:59  (MSK)
Если у тебя доменная структутра можно попробовать запускть файл при закгружке профиля на станции.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Защита от смены IP"
Сообщение от Дмитрий Ю. Карпов Искать по авторуВ закладки on 04-Ноя-04, 20:03  (MSK)
Для DSO:

AutoExec.bat запускается до того, как инициализируется стек протоколов TCP/IP. А в W'ME/NT/2k AutoExec.bat вообще игнорируется.

Копай в сторону приенения политик, юзерских профилей и т.п. фич, которые делает Samba в режиме контроллера домена. A Clockwork Orange правильно говорит.


Mranton:
> если у пользователя стибрили(через дырки в винде) пароль, то это уже не твоя проблема.

На этот случай д.б. привязка логина/пароля к MAC-адресу и IP-номеру - хоть какая-то защита. А ещё хорошо бы сегментировать сеть роутерами и привязать юзеров к сегменту - это уже не омается даже кражей паролей (только засланным к юзеру трояном-Proxy).


Grayich:
> если это что то должно дать (в плане привязки MAC=IP), то что стоит юзверю снести этот батник?

Батник можно снести на своей машине, а на остальных-то он сохранится.

DSO:
> если на компе юзверя НЕ прописать соответствие IP-MAC рутера, то юзверь не видит его.
> т.о. они сами жизненно заинтересованы в сохранности настроек :)

Юзеры могут модифицировать настройки, сохранив соответствие IP-MAC рутера, но поменяв что-то другое.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Защита от смены IP"
Сообщение от Loky emailИскать по авторуВ закладки on 04-Ноя-04, 17:03  (MSK)
>Привет всем! проблема вот в чем:
>решил привязать IP адреса юзверей к макам.
>на сервере все без проблем, а вот у юзверей надоже прописать
>arp -s ip_moy_server **-**-**-**-**-**
>решил для этого написать bat-ник и вставить его в автозапуск так он
>,гад, по циклу запускает команду!
>(если из ком. строки запускать команду - все ок)
>как это можно победить?? ведь arp запись живет до перезагрузки компа
>Заранее благодарен

Вариант DHCP с привязкой по MAC + ограничение групповых политик (запрет смены сетевых настроек) не прокатывает?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Защита от смены IP"
Сообщение от tangar Искать по авторуВ закладки(??) on 04-Ноя-04, 23:56  (MSK)
А зачем так сложно. Непроще-ли сделать так.
На сервере прописать соответствие MAC-адреса IP-адресу, а на клинтах выставить автоматическое получение адреса с DHCP-сервера и все. Ни батников, ни других извратов.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Защита от смены IP"
Сообщение от DSO Искать по авторуВ закладки on 05-Ноя-04, 15:03  (MSK)
для Дмитрий Ю. Карпов:
с autoexec.bat не работает, попробовал уже (по крайней мере на Win2000)...
>Копай в сторону приенения политик, юзерских профилей и т.п. фич, которые >делает Samba в режиме контроллера домена. A Clockwork Orange правильно >говорит.
у меня сеть без доменов. планируется возможный переход на доменную структуру.

>Юзеры могут модифицировать настройки, сохранив соответствие IP-MAC >рутера, но поменяв что-то другое.
никто и не говорит, что эта система надежна на 100% :) просто лучше чем ничего.

для tangar:
>А зачем так сложно. Непроще-ли сделать так.
>На сервере прописать соответствие MAC-адреса IP-адресу, а на клинтах >выставить автоматическое получение адреса с DHCP-сервера и все. Ни >батников, ни других извратов.
оно реально будет работать или как вариант?

у меня идет учет трафика по IP адресам, через сквида

  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "Защита от смены IP"
Сообщение от Дмитрий Ю. Карпов Искать по авторуВ закладки on 05-Ноя-04, 15:59  (MSK)
DSO:
> у меня сеть без доменов. планируется возможный переход на доменную структуру.

Если используется Windows, то лучше используй домен или Active Directory.

tangar:
> Непроще-ли сделать так. На сервере прописать соответствие MAC-адреса IP-адресу,
> а на клинтах выставить автоматическое получение адреса с DHCP-сервера и все.
> Ни батников, ни других извратов.

DSO:
> оно реально будет работать или как вариант?

Вся твоя система построена на том, что юзеры лишены возможности администрять свои машины и не могут принести из дома ноутбук. Потому что иначе они и MAC-адрес поменяют.

DSO:
> у меня идет учет трафика по IP адресам, через сквида

Тогда вводи парольную авторизацию каждого юзера на Squid на время его работы с WWW. Привязка к IP-номерам заведомо хуже.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Защита от смены IP"
Сообщение от tangar Искать по авторуВ закладки(??) on 09-Ноя-04, 08:08  (MSK)
    А почему собственно она недолжна работать? Ведь DHCP для этого и сделан, насколько я знаю он может работать и без доменов, ведь это же не DNS-сервер, а простая раздача адресов.

    Такая система будет работать, при любой ОС, и при политике что юзера не могут менять IP-адреса, и как дополнение к этому при попытке вылести в инет юзер должен представиться.

    Такой вариант работал у нас на домашней сети три года, в сетке было 10-12 машин, Потом поменяли провайдера, при установке радиоезернета провайдер организовал VPN с обязательной авторизацией, и другие защитные меры.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "Защита от смены IP"
Сообщение от Agp emailИскать по авторуВ закладки(??) on 09-Ноя-04, 13:36  (MSK)
Здравствуйте
Я чего-то не понимаю что мешает пользователю менять свои настройки.
Захотелось ему сегодня попользовать интернет Дяди Вани, который на больничном - поменял попользовался и назад поменял. Удобно.
Помоему:
1)не надо считать и вязать ip - авторизовать надо
2)вариант Loky жизнеспособен, но не в данном случае, нету AD
3)VPN рулит
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor