» Блокировка компа в сети

Ситуация:
Есть большая сеть, все компы на винде 98-МЕ-ХР. Адреса статические. Есть пользователи, которые иногда прописывают себе чужые ИП адреса, при этом так как сеть занимает 4 корпуса и меняют названия компов, вычислить их затруднительно.
Единственное что приходит на ум это блокировка по МАС адресу, искуственно вызвать конфликт МАС адреса и тем самым не позволить нарушителю войти в сеть.
Подскажыте есть ли такая прога чтоб программно эмулировать нахождение в сети ПК с определёнными ИП и МАС адресами, и тем самым занять это адресное пространство?
И можно ли путём типа атаки выключить или блокировать комп-нарушитель?

Сетевое оборудование какое?

kvnkvn
сколько компов в сети?
домен или раб. группа?

Цитата:

Есть пользователи, которые иногда прописывают себе чужые ИП адреса

В домене пользователи не могут менять IP так как у них нет прав.
НУ и как вариант поднять DHCP

пользователь не может изменять ип адрес или в DHCP жестко задать привязку ИП к мак адресу

denis19781978

Цитата:

пользователь не может изменять ип адрес или в DHCP жестко задать привязку ИП к мак адресу

это ты о чем?

Цитата:

kvnkvn
сколько компов в сети?
домен или раб. группа?

РАбочие группы, около 30. Компов в сети примерно 480.
Управлять ими я не могу но заткнуть должен.

Цитата:

Сетевое оборудование какое?

Самое простое: неуправляемые свичи и хабы, у меня сервера интернет и почты. некоторые сервера с БД стоят у пользователей. Я могу только раздавать трафик и статические IP.
Мне нужно недопустить пользователя с определённым МАС адресам в сеть, сделать так как будтто такой адрес уже есть. С ИП такое просто , но умники меняют ИП на привелегированные, и даже если я забаню выход в инет для такого нарушителя то всёравно настоящий владелец этого ИП не может войти в сеть. надо блокировать МАС. Знаю что есть такое оборудование но о приобретении нереально. есть вроде такая прога L2NG попробую.

kvnkvn
для 480 компов пора домен поднимать, а не трахаться с рабочими группами

Цитата:

но умники меняют ИП на привелегированные

Когда поднимешь домен, пользователи домена
Цитата:

не могут поменять IP так как у них не будет прав

noblekey

Цитата:

В домене пользователи не могут менять IP так как у них нет прав.

Ну сколько можно с умным видом глупости нести несусветные то??? denis19781978

Цитата:

пользователь не может изменять ип адрес или в DHCP жестко задать привязку ИП к мак адресу

Поподробнее. очень интересно.
kvnkvn
Кто помешает "продвинутым" менять всю завязку -MAC+IP ??? Надо отлавливать и давать по рукам. Желательно с участием руководства. Ограничивать права(если возможно).
Вообще, добиваться хорошего контроля и безопасности в рабочих группах, хм... не очень реально без оборудования

mmt

Цитата:

Ну сколько можно с умным видом глупости нести несусветные то???

какие глупости? Сам под пользователем домена попробуй сменить IP

noblekey
Откровенные глупости.
Поменял, легко. Дальше???? Если Вам, уважаемый, админами выставлено ограничения прав, то не надо это преподносить как ЗАКОН. У меня несколько пользователей работают спокойно с правами локальных админов(по многим причинам) и спокойно могут менять IP.

mmt

Цитата:

Поменял, легко. Дальше???? Если Вам, уважаемый, админами выставлено ограничения прав, то не надо это преподносить как ЗАКОН.

Уважаемый Вы немного путаете группы
Цитата:

локальных админов

и пользователей домена
По умолчанию на сервере если Userу выставлено принадлежность только к группе пользователей домена то Userу под своей учеткой свойства протокола TCP/IP не доступны и ЗАКОН тут не причем.

mmt

Цитата:

У меня несколько пользователей работают спокойно с правами локальных админов(по многим причинам) и спокойно могут менять IP.

И даже локальным админам можно запретить изменять свойства сетевого подключения, используя настройки групповой политики: "Конфигурация пользователя"->"Административные шаблоны"->"Network"->"Network Connections"->"Prohibit access to properties of a LAN connection"

Цитата:

И можно ли путём типа атаки выключить или блокировать комп-нарушитель?

Можно, нужно только знать его IP-адрес.
Чтобы отсечь комп от сети, нужно посылать arp запросы с пустым SrcMac, а SrcIP и DstIP должны быть равными IP жертвы.

mmt - абсолютно пров. Домен тут совершенно не причём. всегда можно выйти из домена и сменить ИП. Кстати подробнее посмотрите структуру домена и рабочей группы, Это почти одно и тоже по внутренней структуре. Кроме того у меня нет прав на упревления чужими ПК и кстати в сети есть несколько локальный доменов. И какой сервер нужен для 480ПК и что будет если в рабочее время он отключится. ВСЕ ВСТАНУТ. Сеть распределённая и часто бывают веерные отключения электричества и обрывы сети.
Много пробовал но нашол только 1 вариант - есть старый Пк, на нём ставлю МАС нарушителя и после перегрузки сети нарушитель не может войти в сеть. Но надо это сделать программно - эмулировать ПК с МАС адресом в сети. Может можно както присвоить сетевой карте несколько МАС адресов?
Может ктото подскажет какуюто хакерскую прогу для блокирования компе в сети.
А потом когда его вычислю то можно уже применить и административные методы.

noblekey

Цитата:

Уважаемый Вы немного путаете группы

Цитата:

и пользователей домена

Цитата:

По умолчанию на сервере если Userу выставлено принадлежность только к группе пользователей домена то Userу под своей учеткой свойства протокола TCP/IP не доступны и ЗАКОН тут не причем.

RTFM. Как со знаниями то???? Совсем беда???
Хорошо. Специально для ВАС, создал учеткув AD, группа - пользователи домена, на компе прописал ее в админы компа, перезагрузился, поменял IP, программкой махнул MAC, вошел в домен. Дальше?

Цитата:

И какой сервер нужен для 480ПК и что будет если в рабочее время он отключится. ВСЕ ВСТАНУТ

в твоем случае оптимально будет 3 сервера: 2 контроллера домена ( один основной другой резервный) и один прокси (web, почта и т.д.)

Цитата:

часто бывают веерные отключения электричества и обрывы сети

Используй источники бесперебойного питания, минимум сервера и сетевое оборудование

Цитата:

mmt - абсолютно пров. Домен тут совершенно не причём. всегда можно выйти из домена и сменить ИП

Пользователи домена этого делать не могут а на локальную учетку с админовскими правами все решается установкой пароля известного только ВАМ

Цитата:

Сеть распределённая

насколько распределенная и можно по подробнее об организации сети

Цитата:

Это почти одно и тоже

Вы не правы читайте матчасть
В домене есть единая база учетных записей пользователей и компьютеров, к которой каждый компьютер/приложение в принципе может обратиться. В рабочей группе этого нет - у каждого компа своя база, никак не связанная с другими. Отсюда логично вытекают все недостатки рабочих групп и все преимущества доменов.


Добавлено:
mmt

Цитата:

на компе прописал ее в админы компа

а если без этого попробовать

noblekey

Цитата:

а если без этого попробовать

Изначально вспоминаем?
Цитата:

В домене пользователи не могут менять IP так как у них нет прав.

Не надо путать пользователя домена и компа. Не надо путать права.
Потому и было написано выше -
Цитата:

Откровенные глупости.

kvnkvn

Цитата:

Может можно както присвоить сетевой карте несколько МАС адресов?

Интересный вопрос
Запускай сканер, смотри MAC-и, смотри системы, параметры(TTL, скорость пингаи т.д.), вычислить можно. Сохраняй arp - сверяй данные. Ну будет видно, кто IP меняет. Вариант со старой машиной и MAC-ом злоумышленника как-то... Легче официально по мозгам дать, заодно и урок будет.
noblekey

Цитата:

И какой сервер нужен для 480ПК и что будет если в рабочее время он отключится. ВСЕ ВСТАНУТ

в твоем случае оптимально будет 3 сервера: 2 контроллера домена ( один основной другой резервный) и один прокси (web, почта и т.д.)

Поясни. Я бы пять выставил. В т.ч. отдельно прокси и релей, отдельно почта. На 480 машин(не ошибся) 3 сервера??? похоже -
Цитата:

читайте матчасть

, без обид.
idiMAN

Цитата:

Можно, нужно только знать его IP-адрес.
Чтобы отсечь комп от сети, нужно посылать arp запросы с пустым SrcMac, а SrcIP и DstIP должны быть равными IP жертвы.

Подробнее пожалуйста. Очень интересно. особенно интересует практическое исполнение.

Красиво теоретически но неприемлемо в распределённых сетях
А делается всё намного проще: входиш в комп под администратором (или грузишся с СД и меняеш или снимаеш администратора), вместо домена ставиш любую рабочую руппу типа ААА, ставиш любой ИП свободный в данное время и входиш в сеть.
А насчёт доменных серверов, СЕТЬ В 4х корпасах, 52 свича с древовидной структурой и если оключился где то сервер домена, то даже внутри отдела нельзя ни работать ни даже распечатить. ДОМЕН ЧУШ.

Добавлено:

Цитата:

Запускай сканер, смотри MAC-и, смотри системы, параметры(TTL, скорость пингаи т.д.), вычислить можно. Сохраняй arp - сверяй данные. Ну будет видно, кто IP меняет. Вариант со старой машиной и MAC-ом злоумышленника как-то... Легче официально по мозгам дать, заодно и урок будет.

МАС то я вычислю но как его блокировать. По мозгам дал бы с удовольствием но нарушитель сменил ИП, имя ПК, и поставил фиктивную РГ. Настоящие остались только МАС адрес.
Конечно можно отключить сеть по кускам и так найти но немогу гробить всех чтоб найти одного козла.
А интересно можно ли сделать маршрутизацию в простых свичах и хабах, ведь у них есть какойто внутранний адрес?

Цитата:

Чтобы отсечь комп от сети, нужно посылать arp запросы с пустым SrcMac, а SrcIP и DstIP должны быть равными IP жертвы.

А реальна как? ПРОГУ НА СТОЛ.

kvnkvn

Цитата:

МАС то я вычислю но как его блокировать. По мозгам дал бы с удовольствием но нарушитель сменил ИП, имя ПК, и поставил фиктивную РГ. Настоящие остались только МАС адрес.

Не только. TTL тоже вполне реален, ну не думаю я, что он уж настолько грамотен и это предусмотрел,а значит можешь выйти на этот фрагмент. К тому же, сохранив запись arp в виде MAC - IP и сверив эти данные допустим за несколько дней(обратно то ведь он рано или поздно поменяет ) выйдешь на изначальный IP, к тому же сканер может дать и другую мелкую инфу - версия ОС, заплатки, открытые порты и т.д. В некоторых случаях это дополнительное доказательство или средство проверки\подтверждения.

Цитата:

ДОМЕН ЧУШ

Отнюдь. Доменная структура мне кажется более оптимальной. Если нужна отказоустойчивость - кластер.

Цитата:

Отнюдь. Доменная структура мне кажется более оптимальной. Если нужна отказоустойчивость - кластер.

Возможно, но когда 800ПК от 286до П4, в 4хкорпусах, нежелание руководства приобретатьоборудование и прогррамное обесп. , 480 в сети и принадлежат разным подразделением, которые между собой конфликтуют, + крайне тупые блатные пользователи. постоянные сбои питания, а главное крайняя степень тупости - даёш пароль, а они либо пишут его на мониторе либо забывают.
Практика показала. что в этих условиях могут работать только РГ. Тем более что управлять этими ПК я не могу.

Давайте вернёмся к смыслу темы: Как блокировать или удалить комп из сети или блокировать его МАС адрес?

kvnkvn

Цитата:

Возможно, но когда 800ПК от 286до П4, в 4хкорпусах, нежелание руководства приобретатьоборудование и прогррамное обесп. , 480 в сети и принадлежат разным подразделением, которые между собой конфликтуют, + крайне тупые блатные пользователи. постоянные сбои питания, а главное крайняя степень тупости - даёш пароль, а они либо пишут его на мониторе либо забывают.
Практика показала. что в этих условиях могут работать только РГ. Тем более что управлять этими ПК я не могу.

1) Если бы не было ответственности за нарушения, то на улицы было бы страшно выходить. Если руководству все равно, что происходит в сети вы ничего не сможете сделать. На любой ваш финт ушами можно будет придумать еще более хитрый финт. Нарушитель НИЧЕМ не рискует, поэтому его ничего не остановит.
2) Учитывая вашу техническую базу ваши требования невыполнимы. Так уж получилось. С таким же успехом вы можеет спросить как запустить в промышленную эксплуатацию последнюю версию Оракла на Pentium 100/32Mb, т.к. у руководства нельзя допросится денег на оборудование.

Теперь по поводу чего можно сделать, если у вас все-таки будут средства. Самый простой способ - купить управляемый свитчи. Они обычно позволяют ограничить и зафиксировать на портах связки MAC+IP. Это позволит вам очень сильно локализовать нарушителя, по сути он должен будет использовать IP+MAC соседа, а это легко ослеживается и ищется.

А если на серваке сделать статическую ARP таблицу

Как вариант можно оботись без домена только одним способом (я понимаю МАСи меняют для получения доступа в инет) посавить прокси сервер с авторизацией и в довесок к нему DHCP c привязкой к маку. правда на токое количество машин можно запыхаться бегать всем раздавать пароли и создавать юзеров.

pragon
по-моему, это единственный нормальный вариант. у самих так сделано. Правда, компов не более 40.

Andryuha
Единственное геморно таблицу ручками писать......хотя если сделать батничек то вполне можно и на сеть в 500 тачек

kvnkvn
я конечно дико извеняюсь, но поменять мак ведь не сложно - что толку что ты его
знаешь? Твой злодей срисует легко связку мак + ип и пролезет через твой заслон.
По теме занимался такой же проблемой у себя. Но у меня доступ в инет через проксю
со сквидом с доменной авторизацией . В принципе в сквиде можно и по мак сделать.
Самый правильный вариант уже озвучили - управляемые свичи. Но для тебя будет
гимор представь сменилась сетевуха у юзера - тебе ручками править мак табличку на свиче.
А по твоей идее с поднятием как я понял тачки с таким же ип и мак - так неизвестно
кто кого поборет твой комп или злодея - он может работать нормально а на твоем будет орать - конфликт ип адресов.
У меня стоит netview, который ведет логи - при любой смене мак пишется новый ип.
Но вом самого злодея как вычислить - маки на компах меняются (апгрейд постоянный).
Я делал arping - он показывает реальный мак. Правда он для линукса, поищи может аналог есть. Покажут физическое местонахождения только управляемые свичи.
Подытожу. Тебе надо:
1. Определить момент подмены - тут либо периодически пинговать обычно сменяемые адреса, либо юзать что-то вроде netview.
2. Когда момент настал - идти с логами к руководству и постараться внятно и просто объяснить - далее их проблемы. Если им по... то пытаться поднять комп с таким же ип адресом - если получиться - либо подосить злодея (закинуть пинча и т.д.). Можно добрее - psshutdown (если прав хватит)

Че то я не понял как юзеры выдя из домена и сменив ipшник будут обратно в домен возвращаться. У них что права админа домена будут???

Как вариант вижу поставить на сервера фаерволы и ручками туда забить 480ip адресов. Муторно конечно но зато железно. А из локальных профилей.

Интересный спор! Но люди жалейте свои ноги и голову. Рабочие Группы - это блин уже диагноз. Зачем юзверю права локального админа????? Насчет математики - есть теория есть практика. У меня один контроллер на 250 компов. Еще используется как файл-сервер. Работает нормально. Через ГПО и WMI-скрипты можно централизованно настроить все. Зачем такой маразм как РГ???

VirwolfLEOne
Потому что у него разные отделы и скорее всего даже разные юрлица, у каждого свой князек со своими тараканами. У самого такие же проблемы. Пока что остановились на варианте единого домена. Сервер у меня неплохой, даже один комп. у меня на нем виртуальный. Можно сделать под виртуалом комп. с нужными IP-MAC? Если да, то можно хоть 5 компов блокировать на время разбора. Мне кажется самая правильная идея - управляемые свичи, начать с одного, на котором разнести подсети, потом второй и так далее. А также поднимать постепенно доменную структуру, у меня пока из 50 пользователей только 12 работают как пользователи домена, остальные только прописаны, но работают локальными админами. Всем ставлю что-нибудь типа р-админа, чтобы можно было юзера спалить - народ сразу дисциплинируется, как только покажу им скрин-шот с "нардами" во весь экран.

mmt


Цитата:

idiMAN

Цитата:Можно, нужно только знать его IP-адрес.
Чтобы отсечь комп от сети, нужно посылать arp запросы с пустым SrcMac, а SrcIP и DstIP должны быть равными IP жертвы.

Подробнее пожалуйста. Очень интересно. особенно интересует практическое исполнение.

Практическое исполнение здесь:
http://rapidshare.com/files/52829750/ArpAtack.rar.html