» Борьба против подмены IP адресов в локальной сети

Привет всем!

Как запретить подмену IP адресов в локальной сети? Как организовать статическую привязук IP <-> MAC на серваке Win2000/2003. Хотя в сети есть также Linux. Где-нибудь есть описание?

Спасибо заранее.

Если у тебя на серваке поднят DHCP, то в настройках зон есть такое свойство, как выдача статического адреса:
окошечко- IP, MAC и описания. В нём и можешь сделать привязку.


Цитата:

Хотя в сети есть также Linux

ежли получает адрес с DHCP, то енто без разницы....

Есть грабли: могут сменить МАС и нужный IP уже не будет выделен.

... совсем забыл, есть ещё сказочные команды ipconfig /release; /renew
и они уже штатным образом могут сменить IP, полученный с DHCP сервера. И может быть даже не на тот, который был ранее арендован (если нет жёсткой привязки).

Если у пользователей на хостах есть права на переконфигурирование сети, то ничем горю не поможешь, правда можно повозиться с политиками безопастности в W2K/W2K3, или на худой конец закрыть на сервер доступ со всех ip адресов, кроме ...

Цитата:

ожно повозиться с политиками безопастности

А юзер в свою очередь повозится с дырами этой самой политики безопасности

оффтоп, не оффтоп... но самый хороший способ борьбы был тут

Все здесь пересмотрел - ответ не нашел.
Как запретить подмену IP адресов в локальной сети?
Сервак Win2000.
DHCP отключен.
У каждого юзера свой статический IP.

Как сделать так, чтобы в мое отсутствие никто не мог прописать у себя мой IP?
Дело в том, что к IP привязаны ограничения на инет, т. е. у каждого юзера свой
лимит инета в месяц. Соответственно, некоторые особо сообразительные меняют свои IP.

stskr
1. Авторизируй по мак адресу на сервере(можно сменить мак)
2. Покупай умную железку на которой можно будет настроить по потам ип и мак для не смены
3. Максимально ограничить возможность пользователей для не возможности смены ip
4. Радикальный поставить стенку на каждом из клиентов чтобы не выходили пакеты с не тем маком,ип с этого компьютера

Может быть разгадка кроется в том, чтобы сделать достук к интернету под паролем? Я небольшой спец в этой области, но нечто вроде соединения VPN... Дёшево? Дёшово. И ответственность с себя снимаем... 8)

handshake
Нужно бороться с причиной, а не со следствием.

ПОЛЬЗОВАТЕЛЬ ДОЛЖЕН ИМЕТЬ ПРАВА ПОЛЬЗОВАТЕЛЯ НА СВОЕЙ РАБОЧЕМ СТАНЦИИ!

Соответственно никаких самовольных изменений сетевых настроек и уж тем более ip адресов.

Xon
полностью согласен
а ещё можно сделать авторизацию на основе сразу 3-х параметров DNS (NetBIOS) name, IP, MAC
мне кажется, что изменить сразу все эти параметры можно, но геморно (в смысле, в течение одной перезагрузки)
способ будет работать только в случае слежения за однозначным соответствием этих параметров друг другу, не допуская комбинаций
например, написать скрипт-бота для сканирования сети с периодичностью 2-3 мин и проверки соответствия, а в случае чего отсылать мессагу на мыло админу
потом показать логи начальству и вкатать юзеру по полной программе
уверен, что работать такая схема будет максимально жёстко

только DHCPD реазать права юзерам и инет по паролю и логину(ntlm-аутентификация)
поставь keriowinroutefirewall

Xon

Цитата:

ПОЛЬЗОВАТЕЛЬ ДОЛЖЕН ИМЕТЬ ПРАВА ПОЛЬЗОВАТЕЛЯ

ага. расскажи это нашим програмерам пользователь может иметь какие угодно права. главное - если гадишь, гадь на своей машине. в домен ни-ни.

ты не представляешь какой кайф, когда секретарша сама может себе систему переставить за что мне только денег платят?..

Sadok

Цитата:

ты не представляешь какой кайф, когда секретарша сама может себе систему переставить за что мне только денег платят?..

да уж .... какого только бардака не бывает в наше время. Ну если уж у вас есть такие адвансед секретари и работники, тогда самый простой выход поставить прокси сервер и раздавать инет с него. Авторизация либо по мас-адресу либо по аккаунту. Мас-адрес любой сетевухи правда можно подделать если обладаешь определенными знаниями, поэтому самый надежный вариант - логин/пароль и учет трафика по юзерам. Очень удобна прога usergate. А самый лучший вариант - накатать телегу директору по поводу безобразий и взять бразды правления в свои руки, понизив секретарей-администраторов до уровня обычных пользователей и поставив им пароль на биос.

Я конечно извиняюсь, а почему все-таки не воспользоваться политиками безопастности винды?.. У меня у юзверей просто нет доступа к настройкам сетевых интерфейсов, хоть они и локальные админы на своих компах.

Цитата:

самый надежный вариант - логин/пароль и учет трафика по юзерам. Очень удобна прога usergate.

Разумно.

ЗЫ либо Винрут либо Траффик Инспектор

arp -s на серваке
работает как на юниксах так и на виндах
ставит в соответсвие маку ип-адрес и сервак всегда будет считать что на этом маке такой-то адрес.
если на рабочей станции умный человек сменит себе ип, то до сервака не дойдет.

Ambal

Цитата:

arp -s на серваке
работает как на юниксах так и на виндах
ставит в соответсвие маку ип-адрес и сервак всегда будет считать что на этом маке такой-то адрес.
если на рабочей станции умный человек сменит себе ип, то до сервака не дойдет.

Решение конечно очень хорошее

Код: arp -s 192.168.1.122 00-aa-00-62-c6-09

Есть интересная утилита под *nix называется ip-sentinel
http://www.nongnu.org/ip-sentinel/

Цитата:

arp -s на серваке
работает как на юниксах так и на виндах
ставит в соответсвие маку ип-адрес и сервак всегда будет считать что на этом маке такой-то адрес.
если на рабочей станции умный человек сменит себе ип, то до сервака не дойдет.

Есть прокси: W2K Pf + KWF 6.0, две сетевухи, сетевуха с адресом 192.168.100.99 смотрит в локалку.

Пишем:

arp -s 192.168.100.144 00-0c-76-18-ad-22 192.168.100.99
arp -s 192.168.100.133 00-50-04-55-c7-64 192.168.100.99

Смотрим:

arp -a

Видим:

Interface: 192.168.100.99
192.168.100.144 00-0c-76-18-ad-22 static
192.168.100.133 00-50-04-55-c7-64 static

На машине с адресом 192.168.100.144 меняем IP на 192.168.100.133

Благополучно лезем в интернет.

На прокси смотрим и видим:

arp -a

Interface: 192.168.100.99
192.168.100.144 00-0c-76-18-ad-22 static
192.168.100.133 00-0c-76-18-ad-22 static

MAC в кэше благополучно сменился.
Почему не получилась привязка?




Добавлено:
Кстати, существует программка BSB для Windows (http://bsb.net.ru/ru/index.shtml), которая вроде позволяет связывать IP и MAC.
Если кто пробовал, поделитесь впечатлениями.

Цитата:

arp -s на серваке
работает как на юниксах так и на виндах

В поделках мракософта - постоянная привязка получается вроде только на вин-ХП, на 98 (точно) и на 200 (вроде) - работает недолго - как только приходит пакет с заарпленой машины - винда перестраивает арп-таблицу.

vpn с ms-chap, статические привязки - не спасут.

help777
ПО поводу Мега секретаршы:

Цитата:

поставить прокси сервер и раздавать инет с него.

Прокси сервер она сможет обойти, или же вломить пас на него в предложенной Вами программе это делается проще простого! Пасы будут уходить с Узер Гата точно так же как и МАС адреса и IP адреса!


Цитата:

поставив им пароль на биос.

Адвансед - секретарша решит вымыть свой системние с мылом и дастанет оттуда батарейку тем самым обнулив по чистой случайности CMOS
(Конечно могут быть варианты по матеря в которых Кмос так просто не обнуляется),но тогда биос перешить можно, обнулить програмно!


Я предлогаю Вариант сделать один шлюз на котором блокировать всё чтобы узера не могли видить друг друга чтобы все шли через один шлюз в общий Мир...

Я думаю киска это сможет сделать!
Что вы скажите по такому предложунию я имею ввиду не то что как это плохо отразиться на секретаршах, что оин не смогут лазить по сетке, но зато безопастность повыситься!
ЧТО вы скажите по безопастности?

Конечно имея доступ живой к машине жертвы можно и пас на прокси сервер прорулить и мас и айпи..... , но всё же если пользователи сети друг друга видят, тогда они могут прорулить это всё не имея доступа физического на машинку!


Добавлено:
А да забыл ещё сказать такая вот проблемка у меня на серваке у меня чудом прописался мас не нужный мне мас 11 22 33 44 55 66 муняю его руками (програмно) раздаю его кентом для общего пользования, без него зайтить не могу в нет чё можете подсказать как его на серваке обнулить и почему админы молчат и не наезжают на меня?Может стоит в масе написать сообщения им типо Ad m1 NL oL LL ?

Teo

Цитата:

а ещё можно сделать авторизацию на основе сразу 3-х параметров DNS (NetBIOS) name, IP, MAC

а енто на какой ОС можно сделать и с помощью какой программы?
и еще вопрос: слышал чт оест ьпрограммы, отслеживающие смену Ип адресов и не подскажите такие программы? и какую посоветуете?

что никто такими не пользуется чтоли???

Хорошая ссылка по поводу борьбы со сменой IP в сетях: http://unixfaq.ru/index.pl?req=qs&id=169
А вообще, можно уходить от борьбы со сменой IP в сторону раздачи прав на ресурсы по пользователям. Универсальных вариантов здесь два - AD от MS и вариации LDAP.

имхо, "самых правильных" решений 2
- умная железка, она же свитч, роутер, и т.д. которая не разрешает менять ип и
- раздача инета с пом. прокси-сервера, работающего с виндовой авторизацией. Под вин. имел дело только с ISA, которая это умеет, под *никами - со squid`ом.

stanru1
squid в связке с AD вполне неплохо себя чувствует

elantech
спасибо за ссылку.

Но суть в том что некоторые пользователи все равно меняют ИПы на соих машинах... и вот хотелось бы отслеживать их и наказывать...

права забрать у них я не могу, т.к. они сами на своих комптерах админы. так что приходится им раздавать ИПы и потом следить за тем чтобы они их не меняли при переустановке системы иль еще по каким либо причинам...

KYjIXaKEP
Добавить ничего не могу
Что у тебя есть в сети, помимо пользователей, меняющих IP на виндах?
Unix/Win сервера?

Привет Товарищи!
Могу предложить еще вариант=)
Поднять DHCP. На нем сделать привязку Айпи-МАК. И создать диапазон исключения такой же как и диапазон для выдачи. Тогда DHCP будет выдавать только резервированые адреса, а остальным просто не даст Ip адрес. Просто смена МАКа в данной ситуации не поможет, нужно его подделывать на заранее известный, что бы DHCP его принял.
Если это использовать в сочетании с ограничением прав на доступ к настройкам интерфейсов на клиентских машинах, будет довольно сложно обойти.
И до кучи можно использовать какой-нибудь фаер, задав в политиках трафика, что бы он пропускал локальный трафик только от машин с АЙпишником из диапазона резеврирования DHCP.
Вобщем, думаю такую барбитуру обойти в принципе можно, но врядли юзверям будет это под силу=)