Исходное сообщение
"IP + MAC :: Расширенная безопастность" Отправлено solaris, 11-Фев-07 15:33
>>Приветствую, коллега. >>Кроме улыбки Ваш вопрос у меня никакой реакции не вызвал. Про фаервол >>вы, скорее всего слышали, но не слышали о том, что можно >>фильтровать трафик не только по интерфейсам и ip-адресам, но и по >>интерфейсам и ip одновлеменно. Это раз. Далее. Как бороться с халявщиками: >> >>1. Способ: >>Установка dhcp-сервера, создание списка абонент-ip-mac на маршрутизаторе. Раздача ip по dhcp. Блокировка >>нарушителей и вывод в офлайн - создание дополнительной записи с "левый >>ip" - mac в таблице arp на маршрутизаторе. Максимальное сужение кол-ва >>абонентов в подсети. >>2. Способ: >>Активное использование vlan'ов и управляемых свичей. Привязка абонента к порту железки. >>Если есть более предметные вопросы, задавайте. Я поставил слежение за этой темой. >>Постараюсь отвечать как можно более подробно. > >Здраствуйте, спасибо за то что откликнулись и помогаете ответами! Второй способ, скорее >всего мне не подойдёт, так как свитчи в сети используются неуправляемые >и переход на более дорогую и "умную" аппаратуру пока не предусматривается... > > >Насчёт первого способа: я собственно так и хотел поступить, но о ведение >фейковой быза, даже не задумывался... Под максимальным сужением Вы имеете ввиду, >статические arp записи, вида 192.168.0.xxx 00:00:00:00:00:00? >А вот насчёт "блокировки нарушителей и вывод в офлайн и создания дополнительной >записи", хотелось-бы услышать побольше! > >Просто DHCP всё равно не сможет помочь, так как изменив IP и >MAC на абонента, во время его отсутствия, можно легко пользоваться интернетом! >И никакие таблицы не помогут или я не прав? Другой способ: >прописать настройки статически, результат тот-же... > >Обдумав детальней, алиас тоже не поможет от подделки, хотя идея вначале казалось >интересной :) Теперь думаю, о возможности обхитрить взломщика с помощью мало >замечаемых параметров. Например изменить TTL ОС на 62. Или более реализуемо, >привязка IP+MAC+Hostname. Как вы насчёт этого думаете? Как проще всего реализовать >такую привязку? > >Наверное слышали о таких программах, как IP-Sentinel, стоит из использовать или лучше >обойтись без неё? > > >Хотел ещё задать вопрос: как лучше всего соберать статистику? Биллингом не пользуюсь, >так как канал не лимитирован, но хотелось-бы знать сколько в день >было скачано и переслано информации, какие хосты посещались и т.д. Сколько >будит занимать подобный отчёт за месяй, для одного пользователя? 1. По поводу привязок: настройте авторизованный вход в сеть на основе vpn (ppp+radius+mysql) - проект abills.sourceforge.net возможно вас заинтересует. Если нужна более детальная информация, то ставьте прозрачный прокси. 2. По поводу блокировки: для того, чтобы абонент жил и не тужил в сети, ему нужен мак. Если перед или во время подключении к сети абонентом, в таблице маршрутизации роутера  будет 2 записи ip - mac1, ip - mac2 то, пользователь не сможет войти в сеть используя этот ip. Ничего сложного. 3. Чтобы хорошо следить за пользователями, нужно использовать либо узкие подсети, чтобы как можно меньше клиентов могли пострадать от подмены, либо авторизацию, и сложные пароли, а в последствии развить это при помощи gssapi в умную авторизацию (вошел однажды, получил доступ ко всему) 4. Как собирать? Статей полно: proxy, trafd, со счетчиков фаерволов... Место зависит от способа хранения, детализации статистики и КОЛИЧЕСТВА ПОЛЬЗОВАТЕЛЕЙ.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>Приветствую, коллега. >>>Кроме улыбки Ваш вопрос у меня никакой реакции не вызвал. Про фаервол >>>вы, скорее всего слышали, но не слышали о том, что можно >>>фильтровать трафик не только по интерфейсам и ip-адресам, но и по >>>интерфейсам и ip одновлеменно. Это раз. Далее. Как бороться с халявщиками: >>> >>>1. Способ: >>>Установка dhcp-сервера, создание списка абонент-ip-mac на маршрутизаторе. Раздача ip по dhcp. Блокировка >>>нарушителей и вывод в офлайн - создание дополнительной записи с "левый >>>ip" - mac в таблице arp на маршрутизаторе. Максимальное сужение кол-ва >>>абонентов в подсети. >>>2. Способ: >>>Активное использование vlan'ов и управляемых свичей. Привязка абонента к порту железки. >>>Если есть более предметные вопросы, задавайте. Я поставил слежение за этой темой. >>>Постараюсь отвечать как можно более подробно. >> >>Здраствуйте, спасибо за то что откликнулись и помогаете ответами! Второй способ, скорее >>всего мне не подойдёт, так как свитчи в сети используются неуправляемые >>и переход на более дорогую и "умную" аппаратуру пока не предусматривается... >> >> >>Насчёт первого способа: я собственно так и хотел поступить, но о ведение >>фейковой быза, даже не задумывался... Под максимальным сужением Вы имеете ввиду, >>статические arp записи, вида 192.168.0.xxx 00:00:00:00:00:00? >>А вот насчёт "блокировки нарушителей и вывод в офлайн и создания дополнительной >>записи", хотелось-бы услышать побольше! >> >>Просто DHCP всё равно не сможет помочь, так как изменив IP и >>MAC на абонента, во время его отсутствия, можно легко пользоваться интернетом! >>И никакие таблицы не помогут или я не прав? Другой способ: >>прописать настройки статически, результат тот-же... >> >>Обдумав детальней, алиас тоже не поможет от подделки, хотя идея вначале казалось >>интересной :) Теперь думаю, о возможности обхитрить взломщика с помощью мало >>замечаемых параметров. Например изменить TTL ОС на 62. Или более реализуемо, >>привязка IP+MAC+Hostname. Как вы насчёт этого думаете? Как проще всего реализовать >>такую привязку? >> >>Наверное слышали о таких программах, как IP-Sentinel, стоит из использовать или лучше >>обойтись без неё? >> >> >>Хотел ещё задать вопрос: как лучше всего соберать статистику? Биллингом не пользуюсь, >>так как канал не лимитирован, но хотелось-бы знать сколько в день >>было скачано и переслано информации, какие хосты посещались и т.д. Сколько >>будит занимать подобный отчёт за месяй, для одного пользователя? > 1. По поводу привязок: настройте авторизованный вход в сеть на основе vpn > (ppp+radius+mysql) - проект abills.sourceforge.net возможно вас заинтересует. Если нужна > более детальная информация, то ставьте прозрачный прокси. > 2. По поводу блокировки: для того, чтобы абонент жил и не тужил > в сети, ему нужен мак. Если перед или во время подключении > к сети абонентом, в таблице маршрутизации роутера будет 2 записи > ip - mac1, ip - mac2 то, пользователь не сможет войти > в сеть используя этот ip. Ничего сложного. > 3. Чтобы хорошо следить за пользователями, нужно использовать либо узкие подсети, чтобы > как можно меньше клиентов могли пострадать от подмены, либо авторизацию, и > сложные пароли, а в последствии развить это при помощи gssapi в > умную авторизацию (вошел однажды, получил доступ ко всему) > 4. Как собирать? Статей полно: proxy, trafd, со счетчиков фаерволов... Место зависит > от способа хранения, детализации статистики и КОЛИЧЕСТВА ПОЛЬЗОВАТЕЛЕЙ.
	Введите код, изображенный на картинке: