Контроль в сети

static
В большинстве сетей использовуеться следующий метод. На шлюз чаще всего не на винсистеме устанавливаеться маленькая прога или скрипт(кому как нравиться мне пофиг я не шарю в этом, я просто приблизительно знаю как работает). У неё есть список соответсвия МАС - IP(лично у нас в сети эта же система связана с DHCP и выдает IP при включении компа в сеть). Как только пользователь пытаеться сменить IP шлюз начинает флудить ARP запросами в сеть и у пользователя появляеться куча сообщений о конфликте IP с другой системой в сети.

Конечно пользователь может менять МАС, но сколько он его сможет менять пока его не поймают, а потом как говорит товарищ Ильясла физическое отключение. А насчет подключения в инет лучше все же использовать VPN. Хоть знать будешь что без его включения никакая прога не полезет за обновлениями в инет без предупреждения, а и ответственность перекладываеться на пользователя за передачу пароля третьим лицам.

Итак, некоторые моменты по поповоду эхотага.
1) Пару MAC<->IP можно безболезненно менять произвольное количество раз, главное не время смены положить сетевой интерфейс. И без управляемого оборудования никто ничего не сможет определить. Разве что ходить по свичам с ноутбуком и "пеленговать" с точностью до порта свича.
2) Наиболее зравый вариант - на сервере поднимает ipsentinel - забивается за сервером все IP-адреса кроме выданых законным юзерам, для которых опять же прописываются сответсвия MAC<->IP

3) Ничто не мешает пользоваться компьютером с "дублированым" IP-адресом - глюки ARP лечатся досточно успешно с помощью promiscuous mode на сетевом интерфейсе, неудобства относительно малы.
4) появление двух одинаковых MAC-адресов в сети сильно осложнит жизнь обоим владельцам, но централизованно сделать это невозможно. К тому же злоумышленник (если у него есть мозги) с помощью элементарного arpwatch составит себе таблицу чужих MAC/IP и по мере появления оригинальных владельцев в сети будет менять пару адресов - это процесс даже, думаю, можно автоматизировать на каком-нить скриптомо языке. Закрепить за одим сетевым интерфейсом более одного MAC AFAIK сейчас невозможно. По крайней мере я такого софта не знаю. Да и смысла в этом нет никакого.
5) Вывод (грустный): человек, установивший у себя MAC и IP чужого "легального" компьютера от правомочного обладателя неотличим. Заблокировать его работу путем поднятия где-то еще такого же IP-адреса проблематично. Решением является управляемое оборудование позволяющее "привязывать" порт свича к MAC. Бляго что стоимость такого оборудования составляет $15-$20 за порт и дажее менее. Наиболее популярные восьмипортовые модели тоже существуют по цене около $100 +/- $30
6) Вывод (радостный): человек который сможет осуществить описанное выше должен обладать определенными техническими навыками. И скорее всего, имя соответсвующую квалификацию, заниматься такой фигней не будет.
7) Вывод (грустный опять): когда-нибудть кто-нибудь реализует написанное мною в виде программы для ламеров, и вот тогда начнется веселуха

K9
Журнал Каккер не дремлет, да и софт(правда он требует чуток подумать(тоесть не просто нажать на кнопку)) есть.

Обычно стоит связка FreeBSD/Linux + Squid (прокси).
У нас стоит система доступа в интернет и биллинга - NetUp UTM5. Правда глюковатая, но год назад она была единственной официально сертифицированной системой. Можно подвязать MAC/IP и логин/пароль. Стоит на FreeBSD. VPN, к сожалению, не поднят. Есть платежи по карточкам, удобно, расходы тоже автоматом считает.
Сейчас вроде Traffic Inspector прошел сертификацию, он должен быть получше..

K9
Угу, все правильно... Эх.. когда управляемые свитчи подешевеют
Тока два МАС-адреса не может быть одновременно у сетевухи, потому и софта нет..

Ильясла я не знаю ваших реалий, но для более-менее организованной сети они ИМХО уже сейчас доступны для постепенного внедрения... Dlink-2108 / 2110 ИМХО уже доступны. Есть еще более дешевые экземпляры - едва ли не по $70.... всякие LinkPro . У меня дома Dlink 2108 - вполне сносно работает, есть "фичи" в прошивке вызванные багами в ДНК разработчиков и менеджеров, но на работоспособность девайса это не влияет.

K9
Внутри здания - может быть, но не на наружных кабельных линиях.. там от электростатических наводок на длинных кабелях никакая разумная грозозащита не спасает, все равно выгорают порты на свитчах, поэтому свитчи - расходный материал.. и управляемые свитчи - увы, еще слишком дороги..
Опять же, если в сегменте поднялся флуд, то и до управляемого свитча не достучишься, ведь все по той же витой паре.. и если в UTM можно как-то покумекать и "присобачить" запасные пары, то в магистральных П-296/270 резерва нет.

Ильясла строго говоря, ставить управляемые свичи надо снизу - магистраль прекрасно может на тупых гигабитниках сидеть

K9
Все что вы написали верно, но нет смыслы подменять МАС и IP? Ну будут юзверю доступны локальные ресурсы, а в инет он не залезет.
Насчет управляемых свитчей...тоже бабушка надвое сказала.
Если управляемый молнией долбанет, то он стоко геммора может причинить пока разберешься.
Магистраль может сидеть на тупых стомегабитных конвертерах.

ALIEN2002 не знаю как у ваС, но у нас отключенные отщепенцы быстренько ставят себе ADSL-модем от любимого провайдера на очередной захваченый IP и лазят себе в интеренет. Приходится сканить сеть, и найдя модем применять к нему меры...

K9 Н начнем с того что мы начали разговор про контроль в Ethernet сети, а причем здесь ADSL?
Видимо мы разные случаи рассматриваем, задача в принципе опискана достаточно ясно. Если вы как-то по другому себе описанную в первом посте сеть представляете изложите остальным ваше видение, иначе не понятно чего вообще обсуждаем.