>>Приветствую, коллега. >>Кроме улыбки Ваш вопрос у меня никакой реакции не вызвал. Про фаервол >>вы, скорее всего слышали, но не слышали о том, что можно >>фильтровать трафик не только по интерфейсам и ip-адресам, но и по >>интерфейсам и ip одновлеменно. Это раз. Далее. Как бороться с халявщиками: >> >>1. Способ: >>Установка dhcp-сервера, создание списка абонент-ip-mac на маршрутизаторе. Раздача ip по dhcp. Блокировка >>нарушителей и вывод в офлайн - создание дополнительной записи с "левый >>ip" - mac в таблице arp на маршрутизаторе. Максимальное сужение кол-ва >>абонентов в подсети. >>2. Способ: >>Активное использование vlan'ов и управляемых свичей. Привязка абонента к порту железки. >>Если есть более предметные вопросы, задавайте. Я поставил слежение за этой темой. >>Постараюсь отвечать как можно более подробно. > >Здраствуйте, спасибо за то что откликнулись и помогаете ответами! Второй способ, скорее >всего мне не подойдёт, так как свитчи в сети используются неуправляемые >и переход на более дорогую и "умную" аппаратуру пока не предусматривается... > > >Насчёт первого способа: я собственно так и хотел поступить, но о ведение >фейковой быза, даже не задумывался... Под максимальным сужением Вы имеете ввиду, >статические arp записи, вида 192.168.0.xxx 00:00:00:00:00:00? >А вот насчёт "блокировки нарушителей и вывод в офлайн и создания дополнительной >записи", хотелось-бы услышать побольше! > >Просто DHCP всё равно не сможет помочь, так как изменив IP и >MAC на абонента, во время его отсутствия, можно легко пользоваться интернетом! >И никакие таблицы не помогут или я не прав? Другой способ: >прописать настройки статически, результат тот-же... > >Обдумав детальней, алиас тоже не поможет от подделки, хотя идея вначале казалось >интересной :) Теперь думаю, о возможности обхитрить взломщика с помощью мало >замечаемых параметров. Например изменить TTL ОС на 62. Или более реализуемо, >привязка IP+MAC+Hostname. Как вы насчёт этого думаете? Как проще всего реализовать >такую привязку? > >Наверное слышали о таких программах, как IP-Sentinel, стоит из использовать или лучше >обойтись без неё? > > >Хотел ещё задать вопрос: как лучше всего соберать статистику? Биллингом не пользуюсь, >так как канал не лимитирован, но хотелось-бы знать сколько в день >было скачано и переслано информации, какие хосты посещались и т.д. Сколько >будит занимать подобный отчёт за месяй, для одного пользователя? 1. По поводу привязок: настройте авторизованный вход в сеть на основе vpn (ppp+radius+mysql) - проект abills.sourceforge.net возможно вас заинтересует. Если нужна более детальная информация, то ставьте прозрачный прокси. 2. По поводу блокировки: для того, чтобы абонент жил и не тужил в сети, ему нужен мак. Если перед или во время подключении к сети абонентом, в таблице маршрутизации роутера будет 2 записи ip - mac1, ip - mac2 то, пользователь не сможет войти в сеть используя этот ip. Ничего сложного. 3. Чтобы хорошо следить за пользователями, нужно использовать либо узкие подсети, чтобы как можно меньше клиентов могли пострадать от подмены, либо авторизацию, и сложные пароли, а в последствии развить это при помощи gssapi в умную авторизацию (вошел однажды, получил доступ ко всему) 4. Как собирать? Статей полно: proxy, trafd, со счетчиков фаерволов... Место зависит от способа хранения, детализации статистики и КОЛИЧЕСТВА ПОЛЬЗОВАТЕЛЕЙ.
|