Здраствуйте.
Есть офисная сеть, около 200 пк = управляемые коммутаторы dlink, шлюз - Debian + squid.
Некоторые товарищи ставят свои роутеры и раздают по кабинетам инет, что запрещено.
Как все это безобразие прекратить? Как найти в сети пиратский шлюз.? Ничего толкового кроме адм. наказания не нашел.
> Как все это безобразие прекратить?
> Как найти в сети пиратский шлюз.?
> Ничего толкового кроме адм. наказания не нашел.Найти, прекратить и наказать - это разные задачи.
Найти:
- можно по TTL
- можно сканировать наборы портов на адресе и ловить их изменение
- можно пытаться контролировать число одновременных TCP-сессий
Хотя я возможно не так понял, что подразумевается под "ставят свои роутеры". Я пишу в контексте: ставят свое железо и тянут свои провода.Если они ставят маршрутизирующий софт на имеющиеся компьютеры и имеющимся компьютерам "расшаривают" интернет используя "вашу" физику - то надо просто ассимметричные виланы на д-линках настроить, и запретить общаться компьютерам друг с другом.
> Хотя я возможно не так понял, что подразумевается под "ставят свои роутеры".
> Я пишу в контексте: ставят свое железо и тянут свои провода.Народ ставит железо - маршрутизаторы, сетевухи, тянут провода.....
Основная задача - Как за натом увидеть пиратскую сеть?Софт пока не ставят.
Все было вычислено путем личного обхода, но ножки не казенные?Спасибо.
> Народ ставит железо - маршрутизаторы, сетевухи, тянут провода.....
> Основная задача - Как за натом увидеть пиратскую сеть?Думаю можно еще немного подождать и они захватят серверную (или как у вас этот чулан называется где сервер со сквидом стоит) и тогда вы сможете спокойно пойти домой.
По теме: У вас проблемы административные не технические. Когда народ вместо своей работы начинает тянуть провода и ставить роутеры, это явно говорит о том, что и админ и их непосредственное начальство не делают свою работу. Равно как и может говорить о том, что пользователи в конец охренели. В любом случае корень проблемы лежит не в технической области.
Можно конечно продложить сделать авторизация дополнительную, например привязывать по маку, но учитывая техническую грамотность ваших пользователей это не поможет.
Ну и так ради интереса.
А как ваш заповедник называется?
>[оверквотинг удален]
> По теме: У вас проблемы административные не технические. Когда народ вместо своей
> работы начинает тянуть провода и ставить роутеры, это явно говорит о
> том, что и админ и их непосредственное начальство не делают свою
> работу. Равно как и может говорить о том, что пользователи в
> конец охренели. В любом случае корень проблемы лежит не в технической
> области.
> Можно конечно продложить сделать авторизация дополнительную, например привязывать по
> маку, но учитывая техническую грамотность ваших пользователей это не поможет.
> Ну и так ради интереса.
> А как ваш заповедник называется?На данный момент привязка по ip + mac, планирую включить ip-mac-port binding, может + по логину, паролю. Хотелось как то проще/технически решить проблему = ограничить кол-во мак на порту и/или др., но в длинке говорят, что железо этого не умеет.
Это не заповедник, а стадо баранов.
>[оверквотинг удален]
>> области.
>> Можно конечно продложить сделать авторизация дополнительную, например привязывать по
>> маку, но учитывая техническую грамотность ваших пользователей это не поможет.
>> Ну и так ради интереса.
>> А как ваш заповедник называется?
> На данный момент привязка по ip + mac, планирую включить ip-mac-port binding,
> может + по логину, паролю. Хотелось как то проще/технически решить проблему
> = ограничить кол-во мак на порту и/или др., но в длинке
> говорят, что железо этого не умеет.
> Это не заповедник, а стадо баранов.802.1X (даааалеко не каждый рутер оный умеет) + все исключительно через squid с авторизацией + ограничение количества tcp сессий на один IP до разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать) и раздача инета через рутер станет "нерентабельной", тем, кто сможет все правильно настроить и обойти - приглашение на работу сисадмином на ваше место :)
>[оверквотинг удален]
>> области.
>> Можно конечно продложить сделать авторизация дополнительную, например привязывать по
>> маку, но учитывая техническую грамотность ваших пользователей это не поможет.
>> Ну и так ради интереса.
>> А как ваш заповедник называется?
> На данный момент привязка по ip + mac, планирую включить ip-mac-port binding,
> может + по логину, паролю. Хотелось как то проще/технически решить проблему
> = ограничить кол-во мак на порту и/или др., но в длинке
> говорят, что железо этого не умеет.
> Это не заповедник, а стадо баранов.Чего только не делают некоторые администраторы чтобы только не общаться с пользователями и с собственными руководителями. Пробема не решается только техническими средствами.
Представте себе что кто-то в офисе готовит шашлык на мангале. Приходит пожарный инспектор и отбирает спички. Мангал, дрова, жидкость для розжига, шашлыки, выписывание штрафов, закрытие офиса и прочее пожарного инспектора не интересуют. Текущая ситуация аналогична.
Стаду баранов нужен пастух и овчарки которые будут стадо охранять. Если этого нет - волки вырежут стадо в считанные минуты. Решайте кто вы в данном случае - такое существо входящее в состав стада или пастух, который с этого стада имеет иногда хороший наваристый суп и вкусный шашлык.
>[оверквотинг удален]
> и с собственными руководителями. Пробема не решается только техническими средствами.
> Представте себе что кто-то в офисе готовит шашлык на мангале. Приходит пожарный
> инспектор и отбирает спички. Мангал, дрова, жидкость для розжига, шашлыки, выписывание
> штрафов, закрытие офиса и прочее пожарного инспектора не интересуют. Текущая ситуация
> аналогична.
> Стаду баранов нужен пастух и овчарки которые будут стадо охранять. Если этого
> нет - волки вырежут стадо в считанные минуты. Решайте кто вы
> в данном случае - такое существо входящее в состав стада или
> пастух, который с этого стада имеет иногда хороший наваристый суп и
> вкусный шашлык.Эт понятно - внедрять комплекс мероприятий = пастухи, овчарки, щуки, окуни..... обрезка лишнего кабеля, увольнение...
Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда успеем, шашкой махать дело не хитрое.
> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда
> успеем, шашкой махать дело не хитрое.можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(
>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда
>> успеем, шашкой махать дело не хитрое.
> можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(и как вы MAC-и за IP роутерами отслеживать собираетесь?
>>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда
>>> успеем, шашкой махать дело не хитрое.
>> можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(
> и как вы MAC-и за IP роутерами отслеживать собираетесь?Повторюсь:
802.1X (даааалеко не каждый рутер оный умеет) + все исключительно через squid с авторизацией + ограничение количества tcp сессий на один IP до разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать) и раздача инета через рутер станет "нерентабельной", ибо
1. Надо найти рутер с поддержкой 802.1x
2. все равно squid попросит логин/пароль
3. Даже втроем на 10 сессий - это поодной страничке открыть да скайп запустить и усе... да они сами умельца с роутером изнасилуют.
4. естественно, на все жалобы что работает хреново в первую очередь проверять на наличие роутера и реагировать административно.
И тут правильно писали - без админ мер все технические средства бесполезны, ибо безнаказанность ничего хорошего не порождает.
>[оверквотинг удален]
> разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать)
> и раздача инета через рутер станет "нерентабельной", ибо
> 1. Надо найти рутер с поддержкой 802.1x
> 2. все равно squid попросит логин/пароль
> 3. Даже втроем на 10 сессий - это поодной страничке открыть да
> скайп запустить и усе... да они сами умельца с роутером изнасилуют.
> 4. естественно, на все жалобы что работает хреново в первую очередь проверять
> на наличие роутера и реагировать административно.
> И тут правильно писали - без админ мер все технические средства бесполезны,
> ибо безнаказанность ничего хорошего не порождает.Всем спасибо, будем работать.
>[оверквотинг удален]
>> 2. все равно squid попросит логин/пароль
>> 3. Даже втроем на 10 сессий - это поодной страничке открыть да
>> скайп запустить и усе... да они сами умельца с роутером изнасилуют.
>> 4. естественно, на все жалобы что работает хреново в первую очередь проверять
>> на наличие роутера и реагировать административно.
>> И тут правильно писали - без админ мер все технические средства бесполезны,
>> ибо безнаказанность ничего хорошего не порождает.
> Всем спасибо, будем работать.
> кстати maxconn даже в 20-25 рубит на 1-2 вкладке. Спрошу в другой
> ветке. Спасибо.А вы не тутайте параметры сквида с количеством tcp сессий :)
>>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда
>>> успеем, шашкой махать дело не хитрое.
>> можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(
> и как вы MAC-и за IP роутерами отслеживать собираетесь?Не за роутерами, а роутеров. При стандартной настроойке роутера, будет светиться его MAC адрес, а не адрес ПК, если мы знаем все свои МАСи то чужие можно блокировать. Единственный недостаток - МАС роутера, можно заменить на МАС легалного ПК :(
> Здраствуйте.
> Есть офисная сеть, около 200 пк = управляемые коммутаторы dlink, шлюз -
> Debian + squid.
> Некоторые товарищи ставят свои роутеры и раздают по кабинетам инет, что запрещено.
> Как все это безобразие прекратить? Как найти в сети пиратский шлюз.? Ничего
> толкового кроме адм. наказания не нашел.1. Авторизацию через LDAP по IPSec и всем USB свистки c ключами.
2. Использовать в сети только свои свичи/роутеры.
Выявить нелегальную точку с помощью сканера по уровню сигнала и "настучать по голове"(если пользователь знает и нарушает рассмотреть на партийном собрании целесообразность доступа к сети в том числе и интернет)А вообще хороша технология cisco rogue detection но такой сети её уже не внедрить:-)
Да и что бы юзеры были довольны и не мучались проверить вашу сетку на предмет готовности к BYOD :-) именно поэтому они тащат в офис железяки и чувствуют себя кул хацкерами )))
Гарантирую что у вас никто ни за что не отвечает, порты не закрываются и находятся в свободном доступе а Одмин мальчик для битья и будет крайним в случае чего ))
А вообще хороший повод поднять вопрос перед руководством и приступить к модернизации сети )))