» Борьба против подмены IP адресов в локальной сети

FreemanRU


Цитата:

Если это мелкая сеть, то это DHCP+arp -a, с периодичекой проверкой

А нельзя ли подробней этот момент?=)
Не то что бы у меня подобная проблема была, а для расширения кругозора.
Если не затруднит.
Спасибо!

FreemanRU
извените за плагиат, но FreemanRU, поподробнее расскажи про
Цитата:

MAC-секьюрити + DHCP

и
Цитата:

DHCP+arp -a

а какой вариант будет удобнее каждый сам себе решит.

AskeT 13
KYjIXaKEP
вариант первый. MAC-секьюрити + DHCP.
Необходимо - свитч 3го уровня, DHCP-сервер.
На каждом порту свитча настраивается МАС-скьюрити, т.е. через этот порт может ходить только клиент с этим МАС-адресом. Некоторые свитчи поддерживают функцию "первого МАС", т.е. они настраивают себе МАС-секьюрити на тот МАС, который первый пришел на порт. Но таких мало.
DHCP-сервер настривается таким образом, что определнный МАС - определнный IP.
На клиенте нет прав менять настройку сетевого соединения.

вариант второй. DHCP + arp -a
DHCP-сервер настривается таким образом, что определнный МАС - определнный IP.
На клиенте нет прав менять настройку сетевого соединения.
На DHCP-сервере периодически (часто) отрабатывается команда arp -a и по её выводу идет анализ и сравнение со списком изветных МАС. Если найден неизвестный МАС или IP не соотвествует МАС-адресу - баста. Какая "баста" зависит от желаний и потребности.

не то это все
вот у моего права при попытке подключить другой комп к локалной сетке ну или смене карты даже без попытки подключится к нэту
сразу же пишет что такой айпи уже есть в сети причем руками прописывал из любой подсети все ровно пишет что айпи занят
такж и с разрешоным маком ну при замене айпи на любой другой из любой подсети
таже история
вот как этого добится чтоб под виндой сервак так же мог контролировать весь диапазон
вот в чем вапрос
а раздача нэта по маку это каменый век даже школьник может зайти в свойстава карточки и прописать себе нужный мак на любом реалтэке собственно тут и нечо обсуждать раздовать по паролю да и все.
а вот чтоб апи левые в сетке не вписывали сибе вот это как сделать
можно конечно руками вписать в карточку что смотрит в локалку все аи из диапазона
свободные тогда любой при смене обноружит что такой есть в сетке
ну это гемор конкретный в конце концов все диапазоны не пропишеш
вот еслиб прога была чтото типа отвичала в сеть что такоий уже занят кроме тех что разрешены
как то под фрей это делалось ну интересно под виндой такое увидить

наверняка есть прога, которая ловит широковещательные запросы(Ethernet) в сети и при изменении ip сразу делает отметки! Ищу .. Соответсвенно можно вычислить злоумышлинников меняющих ip.

Добавлено:
мониторинг безопасности и изменений сети IP, MAC, ARP без AD:
http://forum.ru-board.com/topic.cgi?forum=8&topic=3069#1

Вот у меня в локалке тоже стали вылезать сообщения вида
"В системе обнаружен конфликт IP-адреса xxxxx с системой, имеющей адрес сетевого устройства yyyyyy."
Централизованно у нас ничего не управляется, но IP-адреса распределены более-менее по порядку.

Как добиться, чтобы моя Windows XP "перебивала" того, кто занял мой IP-адрес?

Т.е. чтобы этот хакер не смог таки полноценно поработать сетью,
и вынужден был поставить себе незанятый IP-адрес?

Цитата:

у каждого юзера свой лимит инета в месяц.

настрой достув в инет на основе имени/пароля