Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
"Гость" в LAN 15.02.02 15:49 Число просмотров: 1148
Автор: babay <Andrey Babkin> Статус: Elderman Отредактировано 15.02.02 15:55 Количество правок: 1
|
> Скоро у нас ожидается появление чела, которому по долгу > службы надо интересоваться всякой информацией ;) Устранить > возможность втыкания лаптопа в сеть не выйдет, но права на > это он не имеет. Соответственно задача: > установить мониторинг сети на предмет присутствия левых > устройств, дабы в случае возможных несанкционированных > действий чела повинтить.
Ты написал что сеть на НТ, я во первых повозился бы с настройками Security на серваках жаль конечно, но по моему в 4 нет IPSecurity :-(, но логи тоже кой чего могут дать.
> > - Предполагаемое решение: снифить трафик на предмет > MAC-адресов в заголовках и сравнивать MAC отправителя с > таблицей "своих". При обнаружении "чужого" тихонько > кричать, а чтобы чел не заскучал пока, бомбить его кривыми > ARP-ответами с IP-адресами подсетки :). > > -Осложняющий момент (и для меня, и для чела): сеть на > свичах. (Все хосты под NT4.) Посему, с одной стороны, хрен > он чего пассивно отснифит, с другой стороны, хрен чего я > просто так поймаю.
Ну отснифит и что, чего ты боишься, что он там наловит? Он какую цель приследовать будет , наверняка файло ободрать или базу утянуть ?
Я вижу решение проблемы отлова таже как и ZaDNiCa, не вижу другого варианта кроме как запустить родной Netmon создать в нем фильтр по ARP на серваке который отвечает за авторизацию в сети и на серваке разрешения сетевых имен и следить за своим списком МАСов.
Поймаешь MAC его карты и радуйся.
Да, забыл добавить, если железо умное - самый распространенный способ ставить ловушки SNMP на активность какого либо порта, например - на все неактивные порты в комнате куда может забрести этот чел.
|
|
|