Привязка IP к МАС

[Sbcon]

Имеется подключение офиса к Интернету IP через BM. Адреса раздаются статически т.е. каждому компьютеру админ назначает свой IP, однако участились случаи подсадки на чужой IP. DHCP проблему по моемому не решить т.к. ничто не помешает пользователю назначить IP адрес вручную. В юниксе вроде можно в файрволе жестко привязать IP к MAC а в NetWare, что без аутентификации через Border Manager вопрос не порешать ??????
Подскажитте пож кто в курсе .

[Евгений Каушанский]

с DHCP проблему по моемому не решить т.к. ничто не помешает пользователю назначить IP адрес вручную. В юниксе вроде можно в файрволе жестко привязать IP к MAC а в NetWare, что без аутентификации через Border Manager вопрос не порешать ??????

А кто сказал что нету ?
В NW6 версии точно есть такая штука в DHCP как привязка IP к MAC адресу карты ПК. Можно время аренды IP адреса задать и т.д

[Алексей Волков]

А какая у Вас ОС?

Например, в NetWare 6.5 вы можете, используя ARP.NLM, добавлять запись в ARP-таблицу из командной строки!
Соответственно у вас будет появляться статическая ARP-запись, и даже если кто-то себе привяжет IP-ник (но не заменить MAC), он не сможет общаться с сервером!

[Sbcon]

Спасибо всем откликнувшимся и особенно Алексею Волкову может NW6.5 решит проблему, сейчас стоит NW6.0 SP5

Я может не точно выразился, рассмотрим частный случай:
Предположим я поднял DHCP.
MAC адрес карты компьютера начальника привязан к адресу 192.168.0.22 и подключен к Интернету через Border Manager.
Начальник поработал и в 19.00 пошел домой, компьютер выключил.
Злоумышленник пинганул 192.168.0.22 видит хост неактивен, вручную прописал 192.168.0.22 и с жирными правилами шефа бороздить Интернет.
Шеф приходит на работу включает комп и получает сообщение о дублировании адресов.

Как порешать этот вопрос, или без аутентификации не обойтись????
В юниксе эти вопросы решаются на уровне Firewall. А наш filtcfg.nlm, такое не поддерживает ???

[Алексей Волков]

Безусловно, лучше сделать аутентификацию! Тем более, что clntrust позволит её сделать прозрачной для пользователей. И этот вариант менее геморойный, так сказать, и в плане управления всем этим хозяйством!

Однако можно и так, как я предложил выше!

Например, ситуация:

Начальник выкл. комп, юзер привязал себе его IP, а не тут-то было!
NetWare в ARP-таблице в виде статической записи будет хранить MAC компа начальника и не будет его переопределять! Поэтому диалог у машины юзера с сервером не сложится.

Правда многие карточки позволяют переопределить MAC на уровне драйвера! И умный пользователь без труда это сделает! Но и здесь можно защитится, если ваш Layer 2 свитч (а лучше Layer 3) поодерживает фильтрацию по порту. Тогда смена MAC будет просто бессмысленной.

Может, ARP.NLM заработает и на 6-ке! Если хотите, я могу Вам его выслать.

Кстати, а почему бы не поставить всем юзерям W2K и не поотбирать у них права!

[Евгений Каушанский]

А аутетификацию включить на бордюре по имени пользователя не пробовали?
Раздать время доступа, кому куда можно ,а куда нет в правилах прописать. Бордюр как раз этим и хорош что можно и по IP доступ ограничить и по имени
Достаточно ограничить по имени и всё ок. Если только юзер пароль шефа не знает или еще чей то никак ему не влезть в инет.

Второй вариант.
DHCP аренда IP по времени с привязкой к МАС адресу. в 6sp5 работает

[Sbcon]

Кстати, а почему бы не поставить всем юзерям W2K и не поотбирать у них права!

То же вариант, только в нашем случае он непременим, сильно низким статусом пользуется у нас информационная служба, которая обеспечивает этот сервис !

А аутетификацию включить на бордюре по имени пользователя не пробовали?

Т.к количество пользователей перевалило за 200 то немного проблематично…
Еще раз всем спасибо за ответы, буду пробовать.

[Иван Левшин aka Ivan L.]

То же вариант, только в нашем случае он непременим, сильно низким статусом пользуется у нас информационная служба, которая обеспечивает этот сервис !

Кгхм... Странная ситуация... Контора вроде как контролирует использование "жирных правил шефа", а статус - низкий... Удивлен...

А аутетификацию включить на бордюре по имени пользователя не пробовали?

Т.к количество пользователей перевалило за 200 то немного проблематично…
Еще раз всем спасибо за ответы, буду пробовать.

Ровным счетом ничего проблематичного! Создаем группу, в которую прописываем всех, кому можно в инет (или несколько групп, если права доступа - разные). Создаем правила доступа через бордюр для групп. Voila! С "жирными правами" можно ходить с любой машины - тогда и только тогда, когда шеф вошел в сетку. Вышел - все, аллес капут. Его правами можно воспользоваться, только зная его пароль.
Исчезает головняк с подменой адресов (кстати - лично я считаю контроль доступа только по адресам глупостью и исканием геморроя для себя, любимых), права раздаются гибко и пр., и пр., и пр.

Если все же очень хочется контролировать по железным адресам - сейчас не помню, но можно посмотреть, можно ли в filtcfg забить MAC-адрес. Это раз. Ограничить использование инета по времени. Это два. Ушел шеф в 19:00 - значит после 19:00 с его машины и выйти нельзя. Правда, не знаю - как шеф отреагирует на это, если останется после работы чертей погонять или голых девок посмотреть
А в DHCP действительно можно вбить MAC-адреса и выдавать адреса по ним. Однако никто не мешает юзверю отменить динамическое назначение и вбить ручками статику. Потому контроль по железным адресам и есть плохо

[skoltogyan]

СОбрать список:

MAC IP
Для всех маши.

Создать на сервере NW скрипт:

ARPSET.NCF
ARP -f SYS:\etc\arptable

Формат записей в SYS:\ETC\ARPTABLE такой :
CE1000_1_EII 192.16.0.100 00:02:44:53:6D:46
CE1000_1_EII 192.16.0.101 00:02:44:2B:06:82
......
CE1000_1_EII 192.16.0.102 00:80:48:B7:EF:23

тут: CE1000_1_EII - это название интерфейса к которому относится.
Увидеть его название у Вас можно командой с консоли сервера:
arp -a

Все. После этого нарушителю прийдется менять И MAC , кроме IP на станции, что-бы зайти под другим IP , когда нет соседа.

[Андрей Старков]

если уж тратить энергию, то только на настройку доступа через аутентификацию. сам сейчас прикладываю все усилия, к тому, чтобы связать SQUID на фряхе с LDAP в eDir. Иначе количество ручной работы очень велико. Побороть умников можно только имея везде управляемую активку и прописав фильтрацию по MAC адресу. Только так! У нас тоже списки доступа в инет привязаны к адресам. Другое дело что смена IP видна допустим в системных сообщения ARP которые пишутся в логах на юниксе, и очень нахальное поведение видно сразу и пресекается. Официальных бумаг о правилах поведения и мере воздействия еще нет (в первую очередь это наша вина), но есть 1001 и один способ наказать даже своими силами.
Недавно наткнулся в инете на статью о том, кто такой Админ, если 2-мя словами - не надо считать себя богом, которому все дозволено и от которого все зависят и с другой стороны необходимо помнить, что многие процессы в современном бизнесе очень сильно зависят от нас а иногда и весь бизнес целиком. Оглянитесь вокруг, взвесте серьезно что дает ваша работа предприятию, что от вас зависит? Даже такие муторные мелочи, как ежедневный просмотр логов, профилактика железа и т.д. ?
не забывайте об этом и поднимайте свой вес на предприятии!

[provodnikov]

> связать SQUID на фряхе с LDAP в eDir.

ключевое слово для squid - "tacascd.nlm".
и никаких ковыряний в схеме ldap.

> Побороть умников можно только имея везде управляемую
> активку и прописав фильтрацию по MAC адресу.

немного ARP flood - и свитч превращается в хаб.

> У нас тоже списки доступа в инет привязаны к адресам.

тем самым вы лишаете пользователй мобильности.

[PavelKHTW]

> связать SQUID на фряхе с LDAP в eDir.
> Побороть умников можно только имея везде управляемую
> активку и прописав фильтрацию по MAC адресу.
немного ARP flood - и свитч превращается в хаб.

Вовсе нет, если свич действительно умный, то при наличии флуда он сделает shutdown соответствующему порту.

[Иван Левшин aka Ivan L.]

> связать SQUID на фряхе с LDAP в eDir.

ключевое слово для squid - "tacascd.nlm".
и никаких ковыряний в схеме ldap.

Странно... Я считал, что традиционный способ привязывания сквида к еДир - pam-модули на фрюниксе. А что, nlm уже запускается в среде юникс/линукс?
У нас так вообще для блокирования трафика через гейт планируется применять связку iptables+squid.

немного ARP flood - и свитч превращается в хаб.

Не знаю, какие коммутаторы используются у вас в сетке - атаке сто лет в обед и все мало-мальски нормальные коммутаторы (у меня лично D-Link 3226S/3326SR) имеют встроенную защиту. 3326SR имеет настраиваемый параметр, ограничивающий скорость поступления MAC-адресов в таблицу.
И потом - какое это отношение имеет к обсуждаемому вопросу? Что, подвергшийся атаке коммутатор начинает менять MAC-адреса клиентов?

[Андрей Старков]

мужики! мои слова "связать СКВМД с ЛДАП в еДир" говорят только о том, что я знаю в общих чертах какую сторону хочу двигаться и буду. Фряхой все равно не я занимаюсь. Я осознаю, что мощь еДир у нас не используется по полной и стараюсь это изменить. Если забыли у автора треда проблема скорее административного характера. Главня мысль - можно тратить КУЧУ времени на защиту инфраструктуры, на ручное прописывание МАС адресов при смене компьютером хозяина и т.д. Но правильным будет организовать ограничение доступа в инет по имени паролю, ограничить количество одновременных подключений под одним и тем же аккаунтом. И ВСЕ! Вот на это стоит тратить время и энергию!

2provodnikov: можно по подробнее о tacascd.nlm ?

Все что на этом форуме писалось о связке SQUID и eDir лежит документами у меня в моем "личном журнале" на Лотусе и ждет своего часа. И из них я почерпнул, что чтобы не применялось со стороны юникса, это что то обращается к eDir как к каталогу по протоколу LDAP

[capricious]

про tacaCSd.nlm здесь

http://www.freesoft.ru/pageview.html?id=79682&dl=0