The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Привязка IP к MAC адресу
Я сделал так (идею тоже нашел на этом сайте):

1. Создал файл б/д привязки IP к MAC (например /etc/ethers.local)
             Пример строк из файла:
                 192.168.0.11 00:0c:6e:3f:cd:e5 #kasa2
                 192.168.0.12 00:0d:88:82:da:a2 #mobil
                         и т. д.
2. Написал скрипт такого содержания: (например /etc/static.arp):

         #!/bin/sh
         # обнуляем всю таблицу arp
         arp -ad > null
         # к каждому компу в локальной сети привязываем несуществующий (нулевой)                
         # MAC адрес
         I=1
         while [ $I -le 254 ]
         do
               arp -s 192.168.0.${I} 0:0:0:0:0:0
               I=`expr $I + 1`
         done
         #  к реально существующему компу в сети из базы данных в файле
         # /etc/ethers.local  привязываем
         #  правильный MAC адрес
         arp -f   /etc/ethers.local

3. Делаем этот файл исполняемым и прописываем в файл /etc/rc.local такую
    строчку:

             /etc/static.arp

     Еще желательно, чтобы привязки имен юзерских хостов к ip-адресам были
     прописаны в /etc/hosts (это ускорит их поиск). Теперь сервер не будет
     рассылать широковещательные запросы о локальных MAC адресах, т. к. все они
     статически жестко привязаны к ip-адресам. Этим убивается два зайца: не
     рассылаются широковещательные запросы, что экономит траффик и время
     на ответ сервера, и не позволяет пользователю менять свой ip-адрес,
     т. к. сервер все равно пакет будет отправлять на жестко привязанный
     MAC адрес.
 
10.11.2004 , Автор: Krigs , Источник: http://www.opennet.ru/openforum/vsl...
Ключи: mac, arp, limit / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Ethernet, ARP, привязка MAC адресов.

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Аноним (1), 15:56, 10/11/2004 [ответить] [показать ветку] [···]     [к модератору]
  • +/
    Если бы ещё это работало на WinXP и Win2000 Что мешает поменять срази И ip-ад... весь текст скрыт [показать]
     
  • 1.2, Дмитрий Ю. Карпов (?), 22:59, 10/11/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А я сделал немного совсем иначе. У меня работал ISC-DHCP с привязкой IP-MAC; так что данные я брал прямо из dhcpd.conf, преобразовывая через grep и sed. Из того же dhcpd.conf я делал DNS-зоны (прямую и реверсную) для раб.станций.
     
     
  • 2.5, Yurik (??), 00:32, 13/11/2004 [^] [ответить]    [к модератору]  
  • +/
    Ну и толку что там у Вас на сервере. Я как клиент ставлю себе чужой IP+MAC вручную и работаю от чужого имени независимо от наличия DHCP сервера.
     
  • 1.3, lb (?), 00:15, 11/11/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    если уж dhcp, то брать из leases
     
  • 1.4, lesha (??), 14:21, 11/11/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    зачем такие сложности?

    arp -f /etc/ethers

     
  • 1.6, solaris (??), 00:13, 16/11/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эм... Мониторить юзера меняющего МАС можно по разному. Ничего не мешает ему его сменить. Согласен. И вычислить это тяжело. Определяется это только косвенным путем. Можно отловить на том, что он забыл поменять имя компа, тогда при выводе статы arp выдаст подмену (если ранее велись логи arp). Можно поймать на коннекте к известному внутреннему серверу ника с другого IP. В общем, если они нас обманывают, то и мы должны поступать также! ;)

    А еще можно поставить на мониторинг весь arp траффик и смотреть (анализируя логи) в случае обращения о подмене и краже $$$ сначала на логи сессий биллинга (надо же узнать когда инет был украден), а потом и на arp базу. Там сделать запрос по времени и посмотреть кого из МАСов небыло ;)
    Для реализации последнего нужно всего лищи сбрасывать ARP траф в БД. Кто как конкретно делать будет я не знаю, но нечто подобное я организовал у себя в сетке. Знаете, помогает, что самое интересное :)

    --------------------------------

    А по поводу статьи... Она более подходит для улучшения уровня безопастности, например, маршрутизатора, который не должен отвечать на запросы посторонних, а должен только перебрасывать  трафик от одного такого же роутера к другому.

    Это ИМХО...

     
  • 1.7, XoRe (??), 10:38, 20/11/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Привязка ip адреса к мак адресу не является препятствием для человека, которому нужно поменять себе ip адрес в сети.
    По этому она _может_ служить _дополнением_ к авторизации по логину+паролю.

    А реализована она может быть хоть на sh, С, хоть на Ассемблере.

     
  • 1.8, Barsuk (??), 22:42, 23/11/2004 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    На одном форуме нашел вот такое решение ---------------- Цитата Небольшое пис... весь текст скрыт [показать]
     
     
  • 2.9, Yurik (??), 00:11, 24/11/2004 [^] [ответить]    [к модератору]  
  • +/
    >На одном форуме нашел вот такое решение:
    >Чем это принципиально отличается от сабжа?
    Яйца - вид сбоку :-))
     
  • 1.10, godegisel (?), 17:36, 03/12/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вот это забавно:
    arp -ad > null
     
  • 1.11, Lelik (??), 06:32, 21/12/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Может быть не совесм по теме, но вопрос такй:
    большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать от виича вручную!!! Но это же ... Ну в общем понятно что не катит.
    На серваке работает DHCP, но это никак не помешает поставить ИП руками.
    Предложеным вами методо можно блокировать доступ к серверу, но к шарам юзверей доступ то останется.
    Как быть?
     
     
  • 2.12, Yurik (??), 22:14, 21/12/2004 [^] [ответить]    [к модератору]  
  • +/
    >Может быть не совесм по теме, но вопрос такй:
    >большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые
    >свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать
    >неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать
    >от виича вручную!!! Но это же ... Ну в общем понятно
    другого метода не существует. если данные гоняются только на физическом уровне (кабеля), то и отрубать можно только на физическом. если лень ходить пешком к свичам сделайте какой-нить самодельный комутатор, можно смастерить на реле и управлять набором DTMF сигналов разной частоты используя свободную пару проводов в кабеле который идёт к вашему офису (каждому юзеру присвоить частоту НЧ сигнала) или возможно проще простешее пересчётное устройство (K155ИД3) которое управляет усилителями тока на транзисторах для реле. В любом случае стоимость одного такого комутатора на 8 портов будет в пределах $20.
     
     
  • 3.13, tin (??), 16:20, 24/01/2005 [^] [ответить]    [к модератору]  
  • +/
    >>Может быть не совесм по теме, но вопрос такй:
    >>большая часть ДС пользуются "шарами" и не могут позволить себе ставить управляемые
    >>свичи. В связи с этим возникает трабла: нужно каким-то образом отрубать
    >>неплатильщиков. Есть конешно кустарный метод - беготня по крышаи и отрубать
    >>от виича вручную!!! Но это же ... Ну в общем понятно

    Подумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплательщикам. Как что-то получится - расскажу.

     
     
  • 4.14, Maxim (??), 16:46, 13/02/2005 [^] [ответить]    [к модератору]  
  • +/
    >Подумываю над использованием arp-sk для выдачи ложных пар IP-MAC злосным неплательщикам. Как
    >что-то получится - расскажу.
    ну выдашь ты им неправильные пары. это ничего не изменит. если хакар, то он поменяет ПАРУ IP+MAC. И Твоя замена останется тебе. Если он начинающий, то он не сможет только смотреть ресурсы на сервере.
    и все. вся остальная сеть ему доступна.


     
     
  • 5.17, Леха (?), 14:00, 27/04/2005 [^] [ответить]    [к модератору]  
  • +/
    Вообще странный подход к проблеме -когда пользователи подключаются к ДС они  платят как правило баксов 50( стоимость порта в свитче,кабеля,плюс его прокладка итд) логично предположить что пользователь может легко заявить права на уже уплаченное. стало быть внутрисетевые шары для него бесплатны,а интернет платен вот и вся логика,а руководствоваться жадными помыслами своими -не есть гуд.
     
  • 1.15, vizard (??), 13:16, 15/02/2005 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А можно сначала: какая задача решается таким способом?
     
     
  • 2.16, Susanin_ (??), 23:39, 13/03/2005 [^] [ответить]    [к модератору]  
  • +/
    Я сделал так:
    2 типа предоставляемых ресурсов в ДС:
      - Инет
      - Локал
    У каждого абонента есть доступ к странице с билингом - где он может (должен) блокировать/разблокировать свою учетную запись при окончании/начале работы. Эта блокировка ведет к добавлению его ip в писок доступных Iptables шлюза (через выполнение скрипта). Локал пока бесплатна, но можно и перед ней поставить шлюз и через тот-же скрипт определять список разрешенных IP.
    Таким образом вся отвественность за то, что кто-то может подменить ip и сходить в инет за счет честного абонента лежит как раз на совести этого честного абонента. Не заблокировал за собой запись - сам виноват. Как дверь домой не закрыл.
    Стоит тока один раз пройтись кому-то по чужим учетным записям - как сразу все начинают прислушиваться к этим правилам. И не надо никакого гемора с отлавливанием хакеров...
    Спасение утопающего - дело рук самого утопающего! :)
     
  • 1.18, iddqt (?), 05:25, 26/05/2005 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Технически на 100% данная проблема НЕ РЕШАЕМА.
    Обеспечение безопасности решается оргмерами: закрытие неиспользуемых портов на свитчах, охрана производственных помещений. Не должно быть ни одной пары, розетки или порта, доступного несанкционированным образом. И все равно это не 100%!
     
  • 1.19, comprat (?), 14:16, 15/07/2005 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    не страдайте. найкращий варіант використовувати РРРоЕ. заборгував юзер - забанив акаунт.
     
  • 1.20, myllgpa (ok), 17:00, 11/08/2005 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Меня данная проблема мучает уже два года.
    Умный свич проблему не решает народ атакует его
    буфер.Да и дорогое это удовольствие если сеть большая.PPPoE или программы типа 'stargazer'
    для ДС более приземленные варианты.
     
     
  • 2.21, Ph (?), 01:54, 24/09/2005 [^] [ответить]    [к модератору]  
  • +/
    1)Умные свитчи при атаке на порт умеют его отключать.
    2)Умные свитчи - от 500 у.е за 24 порта.
     
     
  • 3.22, рьв (?), 18:36, 23/11/2005 [^] [ответить]    [к модератору]  
  • +/
    Кто или что мешает VPN использовать ?
     
     
  • 4.23, Andrew S. Nurulin (?), 16:25, 06/12/2005 [^] [ответить]    [к модератору]  
  • +/
    А как можно защитить несанкционированный доступ к VPN в случае кражи пароля? У меня как раз такой сервер, только что озадачился этим вопросом...
     
     
  • 5.24, key (??), 13:34, 08/12/2005 [^] [ответить]    [к модератору]  
  • +/
    >А как можно защитить несанкционированный доступ к VPN в случае кражи пароля?
    >У меня как раз такой сервер, только что озадачился этим вопросом...
    >
    А как можно защитить несанкционированный доступ к  квартире
    в случае кражи ключа?

    Точно также-не давать возможность его украсть.

     
  • 1.25, brag (?), 15:01, 28/01/2007 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Проще всего не трахацца,а переписать с нуля имплемент арпа,чтобы кормить ему файлик с маками и айпишками.посути без поддержки арпа,как такового.жесто ядру дал таблицу и все
     
  • 1.26, DELit (?), 12:02, 01/03/2007 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я сделал так, создал скрипт /usr/local/etc/rc.d/arptable.sh (шаблонно переписав существующий):

    #!/bin/sh
    #
    # PROVIDE: arptable
    # REQUIRE: NETWORKING SERVERS
    # KEYWORD: arptable
    #
    # NOTE: set arptable_enable="YES" in /etc/rc.conf to enable this
    #


    name=arptable
    command="/usr/sbin/arp"

    start_cmd="arptable_start"

    stop_cmd="arptable_stop"

    arptable_enable=${arptable_enable:-"NO"}
    arptable_config=${arptable_config:-"/etc/arptable.conf"}

    arptable_stop() {
            $command -ad
    }

    arptable_start() {
            $command -f $arptable_config
    }

    . /etc/rc.subr
    rcvar='set_rcvar'
    load_rc_config ${name}

    run_rc_command "$1"


    после этого в /etc/arptable.conf прописал IP и MAC-адреса в форме:

    10.11.109.1 00:00:00:00:00:00 pub
    10.11.109.53 00:00:00:00:00:00 pub

    (немного поработав, можно было бы избавиться от необходимости писать pub в конце строки, но, поскольку sed рулит, то проблемы тут нет)

    После этих манипуляций в /etc/rc.conf можно вписать
    arptable_enable="YES" # включить таблицу соответствия IP-MAC

    arptable_config="/etc/arptable.conf" # откуда берем конфиг. Работает без проблем. И вживляется в систему чисто.

     
     
  • 2.28, brag (??), 16:00, 13/06/2007 [^] [ответить]    [к модератору]  
  • +/
    Фигня эти все привязки. меняется за считаные секунды, даже на винде.
    я лично юзаю squid с аутентикацией и ssl. практикую и vpn каждому юзеру,тоже неплохо.
    Надежно и до лампочки все снифферы итп
     
  • 1.29, Folder (?), 18:37, 28/08/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC? Я использую привязку, но при подключении нового клиента, MAC которого еще не известен, возникает проблема доступа его машины к шлюзу. Может есть что-то вроде arp –s 192.168.0.1 any :)
     
     
  • 2.30, Yurik (??), 00:49, 29/08/2008 [^] [ответить]    [к модератору]  
  • +/
    >Господа, кто-то из вас знает, как задать для выбранного IP, любой MAC?

    Не задавать для этого IP

    >Я использую привязку, но при подключении нового клиента, MAC которого еще
    >не известен, возникает проблема доступа его машины к шлюзу.

    Это очевидно потому, что вы в цикле сделали для всего диапазона привязку к несуществующему адресу

    for ((  i = 1 ;  i < 255;  i++  ))
    do
      arp -s 192.168.0.$i FF:FF:FF:FF:FF:FF
    done

    > Может есть что-то вроде arp –s 192.168.0.1 any :)

    да, arp -d 192.168.0.1


     
     
  • 3.31, poBEDA (ok), 03:08, 02/04/2009 [^] [ответить]    [к модератору]  
  • +/
    Доброй ночи! Может быть я и ошибся темой, но для меня очень актуальна такая проблема:
    кто-то ворует траффик на интернет, воруя МАК-адрес, при этом называет компьютер типа ВОРМ или Троян, айпи не меняет.

    Живу в общежитии. У нас несколько групп безлимитного интернета. Моя группа имеет диапазон адресов от 192.168.10.150(роутер) до 192.168.10.175. Соответственно удивлен был, когда интерес роутера (D-Link DIR-120) обнаружил некого(ую) 192.168.10.189. Через коммандер и команду арп вычислил, что у 189 и у 175 из моей группы один и тот же МАК-адрес. Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора.

    Вопрос:
    1) можно ли как-то с этим бороться?
    2) поможет ли привязка мака к айпи от воровства траффика (просто человек сразу грузит торренты и забивает канал, который рассчитан на 24 человека).

    Заранее благодарен и прошу прощения, если не там написал сообщение.

     
     
  • 4.32, Yurik (??), 04:36, 02/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >1) можно ли как-то с этим бороться?

    Можно управляемыми свичами, которые позволяют на физический порт програмировать условия фильтрации (по МАС или диапазону МАС например)

    >2) поможет ли привязка мака к айпи от воровства траффика (просто человек
    >сразу грузит торренты и забивает канал, который рассчитан на 24 человека).

    Не поможет.

    > Так как в сети нашей более 100 компьютеров, то физическим методом отключения проводов нереально вычислить вора.

    Не все же 100 ПК включены в один свич, отключение целого сегмента резко сужает круг поиска. Вычислить вора можно не более чем за ~10 отключений.

    Но вообще идея аутентификации для доступа в инет через МАС-и нелепа, для этого есть PPPoE или VPN

     
     
  • 5.33, poBEDA (ok), 13:29, 02/04/2009 [^] [ответить]    [к модератору]  
  • +/
    Сегментами - это вариант, но сегодня я его вижу наиболее геморойным, так как проблемы доступа к свитчам, поэтому я его оставляю заранее на конец.

    Можно ли сделать аутентификацию через PPPoE или VPN, используя роутер D-Link DIR-120?
    Если да, как это можно сделать?

    П.С. Если пользуешься асей, стукни плиз, если не сложно. 239219697.

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor