» Борьба против подмены IP адресов в локальной сети

elantech

Цитата:

squid в связке с AD вполне неплохо себя чувствует

Так я о том же и говорю.

KYjIXaKEP
Да плюньте вы на ИПы, пусть их меняют сколько хотят! Ежели у пользователя есть физический доступ к компу, права админа и определенные знания, почти бессмысленно что-либо делать на его стороне.

Я не сист.админ,а простой пользователь,имеющий обыкновенный доступ в Интернет (так называемый "прямой").И был доступ ко всем абсолютно ресурсам Интернет,ко всем сайтам.Но с тех пор как мне поменяли IP-адрес (по объективным техническим причинам),я не имею доступ на некоторые сайты (даже безобидные с точки зрения безопасности).Но сайты эти настолько мне жизненно необходимы,что я не могу смириться с потерей доступа к ним.Настройки подключения остались равноценными (как мне говорят ).Например,теперь я не имею доступ к службам www.hotmail.com , www. msn.com...А там осталась моя почта и все мои корреспонденты!!!! Крик души!!! Что могло измениться,какие настройки подключения с изменением IP ? Конечно,ответ на этот вопрос знает один человек - руководитель отдела поддержки Интернет нашего предприятия.Но это все-равно что идти на прием к Богу И,прежде чем решиться на беседу с ним,я хочу понять хоть немного,в чем дело и где могла "собака порыться".

KYjIXaKEP
это делает squid - прокси-сервер
AskeT 13
предложение интересное, но взломать твою защиту можно одним дуновением ветерка
поэтому это бессмысленно
единственный способ борьбы - жестоко и показательно наказывать
методы:
1. поднять DHCP, сопоставить макам ипы, следить за конфликтами адресов
2. показывать логи хождения в инет начальникам отделов - пусть знают, куда ходят их подчинённые
3. как вариант п.2 - выдать ограничение на траф в месяц каждому юзеру
что в результате:
при малейшем конфликте адресов в сети - бежать к юзеру и злобно на него смотреть, лучше прихватить своего или чужого начальника
при показах логов (или исчерпании лимита по трафу) юзеру будет невыгодно сообщать соседу свой пасс на инет
при необходимости подделать логи, например, для самцов изобразить хождения на порносайты, для самочек - сайты знакомств. они скоро начнут косо друг на друга смотреть, если клиент будет точно знать, что таких сайтов он (она) не посещал(а).
ДА, ГРЯЗНО, НО ТАКОВА СЕЛЯВА. БОРОТЬСЯ, ТАК БОРОТЬСЯ !!!
с выражением умиления на лице ознакомить начальника самца/самочки с логами посещения пикантных ресурсов. как вариант - выложить логи на местном сайте.
БЫТЬ ГОТОВЫМ К ГРАЖДАНСКОЙ ВОЙНЕ !!!
И НЕ ТЕРЯТЬ ЧУВСТВА ЮМОРА

Добавлено:
Maele7
что означает "потерял доступ"?
сообщения какие?
подробнее!!!

Цитата:

БЫТЬ ГОТОВЫМ К ГРАЖДАНСКОЙ ВОЙНЕ !!!

Между прочим черевато мордобитием, у нас в конторе чуть до этого дело не дошло И никаких подделок у нас не было, юзера честно ходили на порносайты Обиделись сильно! Зато как сейчас интернет летает......)

stanru1

Teo


Цитата:

предложение интересное, но взломать твою защиту можно одним дуновением ветерка

Цитата:

Вобщем, думаю такую барбитуру обойти в принципе можно, но врядли юзверям будет это под силу=)

Это как вариант, а вообще то защит которые нельзя сломать не существует=))
Я лично не встречал юзверей, которые сломали бы это одним дуновенеием ветерка, и наоборот, встречал админов, которые спрашивали уместиться ли на флоп(1.44) дистрибут Касперского=)
Так что все относительно, может кому то поможет.
Война это конечно хорошо и весело, но когда скучно и времени много свободного=)
А когда дел куча, а тут еще с юзверями воевать.
Но ты прав, для эффективной борьбы, нужно комбинировать мероприятия технические с организационными.
Я бы поставил руководство в известность, что имеют место быть нарушения в сети, которые влекут за собой завуалированность работы пользователей и серьезное нарушение безопасности. Нормальный начальник скажет - Наказать злодеев.
Далле приказ предупреждающий поьзователей о правилах работы(чего можно, и чего нельзя), и конечно об ответственности за нарушения. Вот тут построже.
После этого, думаю все и прекратиться=)))
А если нет, нужно найти одного-двух злодеев, и демонстративно наказать(выговор, депримирование и т.п.)
Все эти процедуры займут максимум неделю. И у самого совесть чиста, ибо всех предупредил. И головной боли нет, потому как, в худшем случае, после наказания одного-двоих, у остальных пропадет желание.

Teo

Цитата:

что означает "потерял доступ"?
сообщения какие?

После долгой попытки соединения сообщение "Error connection to "..адрес сайта,,," failed :connect timeout. Error detected by WinRoute" .(или привычное сообщение "страница не найдена").Причем замечено,что это происходит со страницами,соединение с которыми предваряет стандартное окно "Начинается просмотр страниц через безопасное соединение...".
Далее.Когда я пытаюсь запустить мой MSN Messenger (давно установленный и безотказно работавший даже когда отключался Интернет (удивительно)),я получаю такую тираду. "MSN has made several failed attempts to sign you in You firewall may be blocking Messenger from connections to the service.Please review You firewall setting..".
У меня firewall нет,это точно.И не было.

Цитата:

Но ты прав, для эффективной борьбы, нужно комбинировать мероприятия технические с организационными.

вот, ты очень точно сформулировал
то есть принцип такой: выставил ограничение
дальше - ломайте, НО.... имейте в виду, можете получить по шапочке... БОЛЬНО
или настращать начальство, что из-за такого бардака в сеть могут проникнуть злые хакеры
обосновать при желании можно
да, и самое серьёзное при такой борьбе с беспорядком - наличие закона в сети
ибо если его нет на бумаге, ессно, подписанного начальниками всех отделов - вся эта митусня яйца выеденного не стоит
а так - привёл начальника на место происшествия, ткнул бумажкой в мордочку - подписывали, мол?
тогда извольте выполнять
а подписать - подпишут, обязательно
никто ж не хочет прослыть дураком, правда?
и ещё было бы неплохо в такой бумажке указать отдельным пунктиком - пересморт каждые полгода-год
тогда сразу правила сделать не особо жёсткие, а потом потиху заворачивать гайки
не будут подписывать сразу - значит, подходить к каждому индивидуально и на каждом экземпляре чтоб одна подпись. мотивировать - "а фсе уже потписали, адин вы астались, ай, некарашо, садершивать произодственный процесс" :-D

Может быть,с моей проблемой,о которой я писала выше,нужно обратиться в другую тему,в другой раздел? Подскажите,пожалуйста.

Maele7
Фаервол стоит не у тебя, а на сервере, через который ты ходишь в инет. И на том же сервере видимо созданы определенные запрещающие правила.

stanru1
Но с прежним IP ничего запрещенного не было. То есть,запрещение или разрешение зависит от персональных настроек для того или иного IP-адреса ? И,значит,теоретически можно вернуть свои права.Или это запрещение действует одинаково на всех,кто выходит в Интернет через этот сервер?

хм. можно запретить что-то для конкретного ип, для всех ип, для конкретного юзера и т.д. Ответ на этот вопрос может дать тот, кто настраивал фаервол.

Цитата:

Поднять DHCP. На нем сделать привязку Айпи-МАК. И создать диапазон исключения такой же как и диапазон для выдачи. Тогда DHCP будет выдавать только резервированые адреса, а остальным просто не даст Ip адрес. Просто смена МАКа в данной ситуации не поможет, нужно его подделывать на заранее известный, что бы DHCP его принял.

извените за неграмотность, но у мен возникли вопросы аткие (может кому то они покажутс глупыми...) :
1. Если есть DHCP и какому-то компутеру не выдастся адрес, то что тогда?
а) он не будет виден в сети?
б) если он сам "ручками" ведет себе ип-адрес?

2. Это при подключении нового юзера я должен буду сперва его подключить, потом придти к себе за комп и создать правило для его МАС и ип адресов чтоль?

Я тут на досуге зяглянул в вашу темку, и такой вывод сделал - полная демократия в организации погубит сис.админа
А то смотрю тут у некоторых и права админа у юзеров, и полный физический доступ ко всему железу - это бесконечный хаос и только.
Я демократию люблю и уважаю, ну посмотрев что просиходит когда даешь полную свободу, то это полный хаос получается с компами и сеткой.
А полный хаос в сетке - это очень не хорошо, мое мнение.
Доходит до того что не успеваешь новинки внедрить, как народ нагадил уже на компах так и в сети что начинаешь всё восстанваливать и так по кругу.
В итоге времени на что-нибудь ещё новое совершенно не остается.
Но это я про организации, а не домашние сети.

P.s. Ну вот в жизни России, к примеру, тоже. Мы же не привыкли к полной свободе, получается хаос, что в жизни, что на дорогах.
Люди сами организоваться никак не смогут.
Можно конечно и подождать, и посмотреть, но главное не опоздать с решениями.

Привет!


Цитата:

1. Если есть DHCP и какому-то компутеру не выдастся адрес, то что тогда?
а) он не будет виден в сети?

Он не то, что бы не виден, он вообще будет не в сети в такой ситуации=))


Цитата:

Это при подключении нового юзера я должен буду сперва его подключить, потом придти к себе за комп и создать правило для его МАС и ип адресов чтоль?

Да.

Подумал я тут на досуге, и пришел к выводу, предложеный мной вариант не очень=(

Во первых:


Цитата:

если он сам "ручками" ведет себе ип-адрес?

Как поведет себя DHCP сервер, когда в сети появиться комп с адресом таким же как и тот комп для которого есть резервирование( резервированый комп допустим отключен), но с левым МАКом???

Кстати если кто знает, отпишите, буду очень признателен=)

Вариант первый: произойдет конфликт адресов.
Вариант второй: на это положиться болт, так как в данный момент резервированый комп отключен, и фактически такого адреса в сети нет.

Если DHCP сервер поведет себя по 1 варианту, тогда предложенные мной дествия еще могут помочь, если по второму:

Это первая большая дыра! Продвинутый юзверь с правами админа это сделает конечно.
Ему нужно выбрать адрес из определенного диапазона, но и это вобщем ерунда.



И наконец фаер! Это же межсетевой экран. А значит, поставив его на машину в локальной сети, можно запретить трафик любой машины к машине с фаером , но нельзя запретить с машины на которой фаер локальный трафик других машин друг к другу. А отсюда, что фаер может закрыть только доступ в инет, но никак не локальный трафик в сети.
(все вышесказанное относиться к одноранговой сети)

А коли мне память не изменяет вопрос был как раз не про инет, а про локальную сеть=)

Вобщем думаю, технически, (если не говорить о приказах и прочих организационных мерах, для осуществления которых админом быть не нужно) поставленную задачу можно решить:
1 применив умные железяки(роутеры со встроенными файрволами)
2 либо гибко изменить права юзверей
На мой взгляд, оба варианта хороши, конкретный выбор зависит от конкретной ситуации.

Принцип администрирования - прав должно быть не больше, чем нужно что бы можно было нормально работать.

Если рабочие станции под управлением WindowsXP, можно воспользоваться встроенным фаерволом. Кстати да, и разрешить на нем исходящий трафик только с правильного ип! Фаервол этот можно настроить групповыми политиками

Maele7
вроде у тебя запрещён протокол https

Цитата:

Как поведет себя DHCP сервер, когда в сети появиться комп с адресом таким же как и тот комп для которого есть резервирование( резервированый комп допустим отключен), но с левым МАКом???

если ты выделяешь ип на основе известных МАКов, то комп просто будет виден в сети под ипом, который не входит в диапазон раздаваемых сервером адресов
бороться можно ток если статикой на свитче прописать привязку МАКа на порту
или создать диапазон "известных" МАКов там же, тогда свитч просто не пропустит комп с левым МАКом

TEO
Либо ты меня не понял, либоя не так обьяснил=)
Интересует вот что. На DHCP создана область. В ней есть диапазон для выдачи.
192.168.0.1 - 192.168.0.5 например. И есть диапазон исключения
192.168.0.1 - 192.168.0.5.
есть резервирование 192.168.0.1 - ff-ff-ff-ff-ff-ff
192.168.0.2- bb-bb-bb-bb-bb-bb
Вот.
Сервер не даст никому никаких адресов, кроме компов с маком ff-ff-ff-ff-ff-ff
и bb-bb-bb-bb-bb-bb.
Так вот если на каком нибудь третьем компе с МАКом ee-ee-ee-ee-ee-ee , поставить ручками адрес 192.168.0.2 когда комп с МАКом bb-bb-bb-bb-bb-bb будет отключен.
Что произойдет????
Фактически то в данный момент адреса 192.168.0.2 нет, но с другой стороны сервер может держать у себя таблицу и посылать в сеть, что типа такой адрес есть, но он отключен.
Вот энто пожалуйста прокоментируйте=)

Teo

Цитата:

вроде у тебя запрещён протокол https

Можно подробнее?За что отвечает этот HTTPS ?
Например,в настройках MSN Messenger о HTTPS не говорится.
Предлагается настроить только HTTP
Я захожу на сайт hotmail,например.Загружается главная страница.
И все,зайти в свой почтовый ящик я уже не могу.И ни в какую службу hotmail ( и msn.com тоже ). Даже на безобидный французский сайт о природе.
Что обидно,открываются всякме потенциально опасные сайты,а безопасные - нет

Maele7

Цитата:

Можно подробнее?За что отвечает этот HTTPS ?

HTTPS — расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, «упаковываются» в протокол SSL или TLS, тем самым обеспечивается защита этих данных. В отличие от HTTP, HTTPS использует TCP порт 443.

AskeT 13
да, я, видать не так понял...
давай рассуждать логически
итак, комп с известным серверу маком выключили, назовём его А
злодей обладает компом В, который с другим маком. Он назначает ему адрес, имеющийся в списке зарезервированных на сервере
далее злодей включает свой комп В в розетку и получает полноценный доступ к сети со всеми правами владельца компа А
сервер, не получив запроса на выделения адреса, останется в стороне
поэтому бороться с таким положением можно только составлением списка известных маков и сообщением его свитчу. свитч просто не пустит в сеть "неизвестный" мак, да ещё и админу сообщит о происшествии.
вариант подешевле - на сервере установить прогу (я как-то писал такой скрипт на перлике, да недописал до такой функциональности), которая просканирует сеть (может, пассивно даже), по выясненным макам узнает ипы, по последним - адреса компов и составит список (я кидал в базу)
далее, как только появляется в сети комп с "левым" маком, он тут же "засветится"
недостатки есть. комп В может сменить одновременно и мак и ип и имя. Тогда его "словить" труднее и на 3 уровне, видимо, уже не получится

Teo
AskeT 13
пасиба вам. разъснили ситуацию...
а если с помощью iptables на сервере сделать свзку мак-ип?
тогда туда не сможет пролезть комп В (если канешно не изменит он свой мак).
а можно ли еще сделать привязку к имени компа??? NETBIOS name кажется.
или сканер есть ли(здесь уже без разницы кака ось ВИН иль Линух) чтобы сканировал по заданному времени ипы и маки в сети???

Ребята! А что скажете про такой вариант?
Написать прогу. Инсталится на комп юзверя(клиент), работает в фоновом режиме, то есть окон не видно. Каждые 10 минут запрашивает у системы текущий Айпи и заносит значение в реестр или ини-файло. В случае если текущее и записанное ранее значения отличаються, посылает админу(серверная часть) сообщение, типа адрес сменился с такого на такой, админ анализирует ситуацию, и в случае необходимости, идет дрючить подлеца=) Сервер каждые 10 минут посылает клиентам опрос, что бы исключить самовольное завершени проги юзверем, какой комп не ответил, значит прогу нашли и рубанули, опять админ анализирует, и в случае необходимости идет дрючить=)
Как отличить когда рубанули прогу, а когда комп, что бы не дергаться зря.
Очень просто, когда система завершает работу, она посылает сообщение всем работающим приложениям, что типа рублюсь, эта прога ловит сообщение системы, и посылает сообщени серверу, типа комп отключается, на опросы отвечать не буду.
Инсталить можно так:
Сделать общий ресурс.
Поместить туда файлы этой проги.
В скрипт входа написать.
1.Подключение сетевого диска(net use z: \\server\proga)
2.Копирование файлов проги на комп юзверя(xcopy z:\*.* c:\windows\system32\*.*)
3.Запуск проги(c:\windows\system32\proga.exe)
4.Отключение сетевого диска(net use z: /delete)
Одним словом как и сетевая установка радмина.
Все.
В принципе гимора не много, и проблему думаю решит=)
Юзвери могут и не узнать, что у них такая штука работает, и будут удивлены, когда их моментально вздрючат.

О! Я тут просмотрел посты, и заметил, Teo уже предлагал програмно решить проблему.
Приношу извинения за неумышленный плагиат=)

В ISA можно сделать авторизацию в том числе по имени юзера в домене и раздачу трафика привязать к именам.

Цитата:

В ISA можно сделать авторизацию в том числе по имени юзера в домене и раздачу трафика привязать к именам.

Это если у тебя с инетом проблемы.
А ежели у тебя юзвери меняют Айпишники и в локальной сети беспределят, вряд ли поможет ISA

Цитата:

Это если у тебя с инетом проблемы.
А ежели у тебя юзвери меняют Айпишники и в локальной сети беспределят, вряд ли поможет ISA

А при чем тут ip если аутентификация идет на уровне пользователя? Если у юзеров будут нормальные пароли которыми они не будут друг с другом делится - еще как поможет.

SergR
Привет! Ежели честно, с ISA не работал, могу заблуждаться, но он вроде как для выхода в инет???(NAT,Proxy и прочие функции).
А локальный трафик он не затрагивает. Или я ошибаюсь???

Цитата:

Как сделать так, чтобы в мое отсутствие никто не мог прописать у себя мой IP?
Дело в том, что к IP привязаны ограничения на инет, т. е. у каждого юзера свой
лимит инета в месяц. Соответственно, некоторые особо сообразительные меняют свои IP.

Если для этого, то ISA вполне справляется с задачей - ставим TrafficQuota и радуемся. Разве что народ начнет ломать пароли...

Цитата:

SergR
Привет! Ежели честно, с ISA не работал, могу заблуждаться, но он вроде как для выхода в инет???(NAT,Proxy и прочие функции).
А локальный трафик он не затрагивает. Или я ошибаюсь???

Ну да, ISA для раздачи инета предназначена. Вроде как в этой теме именно про инет и идет разговор, или я что-то упустил?
А в чем проблема с локальными ресурсами?

Тема превращается в тему из рязряда "обо всём".

Начали за здаравие:

Цитата:

Как запретить подмену IP адресов в локальной сети?

закончили за упокой:

Цитата:

Вроде как в этой теме именно про инет и идет разговор

Это к вопросу о том, что пишем,а не читаем (это не обращение к кому-то лично, а констатация факта )

Дабы не нарушать правил, свои пять копеек.
Когда необходимо сделать сабж, то в первую очередь оценивают возможности и необходимость. Если эта сеть из более чем 100 компов, то это однозначно MAC-секьюрити + DHCP. Если это мелкая сеть, то это DHCP+arp -a, с периодичекой проверкой. Да и в мелких сетях ИМХО такое нафиг не надо.
Далее, если это корпоративная сеть, то отбираем права админа и живем спокойно, сабжевой проблемы вообще нет.
Если это домашняя сеть, что при появлении кулхацкеров просто отрубаем их от сети, перезав проводок.