Хотелось бы спросить, есть ли способ программно отключать от сети (либо делать сеть недоступной) некоторых абонентов, которые по каким-либо причинам состоят в конфликтах с администрацией.
Сеть набольшая. Построена на неуправляемых свитчах 100 mbit. То есть все равны по сути. Но оооочень уж хочется найти какой-нибудь способ контроля.
В большинстве сетей использовуеться следующий метод. На шлюз чаще всего не на винсистеме устанавливаеться маленькая прога или скрипт(кому как нравиться мне пофиг я не шарю в этом, я просто приблизительно знаю как работает). У неё есть список соответсвия МАС - IP(лично у нас в сети эта же система связана с DHCP и выдает IP при включении компа в сеть). Как только пользователь пытаеться сменить IP шлюз начинает флудить ARP запросами в сеть и у пользователя появляеться куча сообщений о конфликте IP с другой системой в сети.
Конечно пользователь может менять МАС, но сколько он его сможет менять пока его не поймают, а потом как говорит товарищ Ильясла физическое отключение. А насчет подключения в инет лучше все же использовать VPN. Хоть знать будешь что без его включения никакая прога не полезет за обновлениями в инет без предупреждения, а и ответственность перекладываеться на пользователя за передачу пароля третьим лицам.
1) Пару MAC<->IP можно безболезненно менять произвольное количество раз, главное не время смены положить сетевой интерфейс. И без управляемого оборудования никто ничего не сможет определить. Разве что ходить по свичам с ноутбуком и "пеленговать" с точностью до порта свича.
2) Наиболее зравый вариант - на сервере поднимает ipsentinel - забивается за сервером все IP-адреса кроме выданых законным юзерам, для которых опять же прописываются сответсвия MAC<->IP
3) Ничто не мешает пользоваться компьютером с "дублированым" IP-адресом - глюки ARP лечатся досточно успешно с помощью promiscuous mode на сетевом интерфейсе, неудобства относительно малы.
4) появление двух одинаковых MAC-адресов в сети сильно осложнит жизнь обоим владельцам, но централизованно сделать это невозможно. К тому же злоумышленник (если у него есть мозги) с помощью элементарного arpwatch составит себе таблицу чужих MAC/IP и по мере появления оригинальных владельцев в сети будет менять пару адресов - это процесс даже, думаю, можно автоматизировать на каком-нить скриптомо языке. Закрепить за одим сетевым интерфейсом более одного MAC AFAIK сейчас невозможно. По крайней мере я такого софта не знаю. Да и смысла в этом нет никакого.
5) Вывод (грустный): человек, установивший у себя MAC и IP чужого "легального" компьютера от правомочного обладателя неотличим. Заблокировать его работу путем поднятия где-то еще такого же IP-адреса проблематично. Решением является управляемое оборудование позволяющее "привязывать" порт свича к MAC. Бляго что стоимость такого оборудования составляет $15-$20 за порт и дажее менее. Наиболее популярные восьмипортовые модели тоже существуют по цене около $100 +/- $30
6) Вывод (радостный): человек который сможет осуществить описанное выше должен обладать определенными техническими навыками. И скорее всего, имя соответсвующую квалификацию, заниматься такой фигней не будет.
7) Вывод (грустный опять): когда-нибудть кто-нибудь реализует написанное мною в виде программы для ламеров, и вот тогда начнется веселуха ;)
Журнал Каккер не дремлет, да и софт(правда он требует чуток подумать(тоесть не просто нажать на кнопку)) есть.
У нас стоит система доступа в интернет и биллинга - NetUp UTM5. Правда глюковатая, но год назад она была единственной официально сертифицированной системой. Можно подвязать MAC/IP и логин/пароль. Стоит на FreeBSD. VPN, к сожалению, не поднят. Есть платежи по карточкам, удобно, расходы тоже автоматом считает.
Сейчас вроде Traffic Inspector прошел сертификацию, он должен быть получше..
K9
Угу, все правильно... Эх.. когда управляемые свитчи подешевеют :roll:
Тока два МАС-адреса не может быть одновременно у сетевухи, потому и софта нет..
Внутри здания - может быть, но не на наружных кабельных линиях.. там от электростатических наводок на длинных кабелях никакая разумная грозозащита не спасает, все равно выгорают порты на свитчах, поэтому свитчи - расходный материал.. и управляемые свитчи - увы, еще слишком дороги..
Опять же, если в сегменте поднялся флуд, то и до управляемого свитча не достучишься, ведь все по той же витой паре.. и если в UTM можно как-то покумекать и "присобачить" запасные пары, то в магистральных П-296/270 резерва нет. :roll:
Все что вы написали верно, но нет смыслы подменять МАС и IP? Ну будут юзверю доступны локальные ресурсы, а в инет он не залезет :).
Насчет управляемых свитчей...тоже бабушка надвое сказала.
Если управляемый молнией долбанет, то он стоко геммора может причинить пока разберешься.
Магистраль может сидеть на тупых стомегабитных конвертерах ;).
Видимо мы разные случаи рассматриваем, задача в принципе опискана достаточно ясно. Если вы как-то по другому себе описанную в первом посте сеть представляете изложите остальным ваше видение, иначе не понятно чего вообще обсуждаем.