> Надеюсь ,мне не надо доказывать,что CISCO НЕ только свитчи > выпускает, но и хотя бы бриджи. :))) Весело тут с вами...
Доказывать ничего не надо. Особенно по части того что выпускает Cisco. Хотя наверно весело было бы на это посмотреть... Вообще для отстрастки сходил бы на сайт (даю наколку - www.cisco.com) и убедился, что такого отдельного устройства как "бридж" циска не выпускает. Ибо сказано: An Ethernet switch uses the same logic as a transparent bridge. However, switches perform more functions, have more features, and have more physical ports.(с) Wendell Odom, CCNA Exam 640-607 Certification Guide, p. 170 (Я тут выше клялся, что не буду никого отсылать читать теорию, поэтому пусть это просто будет ссылка на источник. Хотя почитать никому не возбраняется ;))
> Так вот в любом мосте статично задаётся 'Forwarding Table' > и проблема сама собой исчезает. Нельзя будет с Вот-вот, как раз в свитчах при настройке port security и задается такая таблица. И проблема действительно изчезает... ;))
> НЕПРАВИЛЬНЫМИ IP & MAC передавать пакеты в сеть с данного > порта. Ethernet -свитчи, как и бриджи - устройства второго уровня, дальше ethernet-фреймов не глядят и потому про IP адреса на своих портах ничего не знают. Ну да ладно, на этом и закончим...
Проблема следующая. В сети есть бухгалтерская прога на SQL сервере.
Она умеет писать себе в лог (на сервере табличка) MAC и IP комьютера с которого сделана проводка.
Появились очень грамотные юзеры, мать их, которые ставят кейлогеры на раб станции(Win98/NT - ломаются за раз), ловят пароль, идут на свою машину ставят IP,MAC и делают проводки под украденным паролем. Поймать такого не реально.
Подскажите как с этим бороться.
1)Знаю что есть интеллектуальнуе Switch которые закрепляют за портом IP,MAC - подскажите конкретные модели которые уважаемый пипл использует
2)Использовать что-то типа смарт карт и дописать прогу в эту сторону.
Но останется прямое выполнение хранимых процедур минуя клиентскую часть.
Что посоветуете уважаемые господа
Немного в сторону но по теме09.04.03 00:39 Автор: toobig Статус: Незарегистрированный пользователь
Раз уж TCP/IP open system и все такое возможно ли в стек добавить еще один протокол над IP, который паковал бы в пакет цифровую подпись или что-то типа того?
Может что-то подобное сужествует?
Было бы неплохо.
Защита от смены IP, MAC08.04.03 09:51 Автор: Nick Статус: Незарегистрированный пользователь Отредактировано 08.04.03 09:53 Количество правок: 1
> Проблема следующая. В сети есть бухгалтерская прога на SQL > сервере. > Она умеет писать себе в лог (на сервере табличка) MAC и IP > комьютера с которого сделана проводка. > Появились очень грамотные юзеры, мать их, которые ставят > кейлогеры на раб станции(Win98/NT - ломаются за раз), ловят > пароль, идут на свою машину ставят IP,MAC и делают проводки > под украденным паролем. Поймать такого не реально. > > Подскажите как с этим бороться. > 1)Знаю что есть интеллектуальнуе Switch которые закрепляют > за портом IP,MAC - подскажите конкретные модели которые > уважаемый пипл использует > 2)Использовать что-то типа смарт карт и дописать прогу в > эту сторону. > Но останется прямое выполнение хранимых процедур минуя > клиентскую часть. > Что посоветуете уважаемые господа
Тут говорили про Cisco, на свиче попробуй так:
В режиме enable
1 conf term
2 interfase (порт свича)
3 port security max-mac-count 1
4 port security action shutdown
5 end
Порт свича запомнит ОДИН мас адрес и когда пользователь его сменит порт установится в режим shutdown.
Удачи в борьбе ;-))
Защита от смены IP, MAC03.04.03 00:13 Автор: svi Статус: Незарегистрированный пользователь
> Подскажите как с этим бороться. > 1)Знаю что есть интеллектуальнуе Switch которые закрепляют > за портом IP,MAC - подскажите конкретные модели которые > уважаемый пипл использует Это ненадежно и дорого.
> 2)Использовать что-то типа смарт карт и дописать прогу в > эту сторону. > Но останется прямое выполнение хранимых процедур минуя > клиентскую часть. > Что посоветуете уважаемые господа VPN - достаточно надежно.
Защита от смены IP, MAC01.04.03 18:31 Автор: N_N Статус: Незарегистрированный пользователь
> Проблема следующая. В сети есть бухгалтерская прога на SQL > сервере. > Она умеет писать себе в лог (на сервере табличка) MAC и IP > комьютера с которого сделана проводка. > Появились очень грамотные юзеры, мать их, которые ставят > кейлогеры на раб станции(Win98/NT - ломаются за раз), ловят > пароль, идут на свою машину ставят IP,MAC и делают проводки > под украденным паролем. Поймать такого не реально. > > Подскажите как с этим бороться. > 1)Знаю что есть интеллектуальнуе Switch которые закрепляют > за портом IP,MAC - подскажите конкретные модели которые > уважаемый пипл использует > 2)Использовать что-то типа смарт карт и дописать прогу в > эту сторону. > Но останется прямое выполнение хранимых процедур минуя > клиентскую часть. > Что посоветуете уважаемые господа Если ПК, например с IP 10.0.10.1, находится в сети и включен, а некий "суперпользователь" изменил свой IP на 10.0.10.1 и попытается войти в сеть, то это у него просто не получится, т.к. в каждый момент времени, в сети может существовать только один уникальный адрес TCPIP или имя ПК. Если попробовать так сделать, то на ПК с таким IP, уже работащим в сети "выскочит" сообщение, (примерно: конфликт TCPIP хххххх )c указанием адреса IP, и на ПК с таким же IP, который пытается войти в сеть: (примерно) конфликт TCPIP, сеть недоступна, в сетевом окружении ни групп ни ПК, пусто.
На приличном SQL (Oracle)должен быть выбор идентификации пользователя Windows или пользователя БД (выбирается при инсталяции сервера). Возможно у вас стоит именно идентификация пользователя БД, тогда IP ни при чем. Если идентификации пользователя Windows (надеюсь NT), то можно применить принудительную смену пароля каждые N дней, не более 3 попыток, и ограничить на сервере время дествия всех юзеровских записей напр. 8.00 - 17.45, отключить в БИОСе на сервере FDD и CD, и регулярно менять все пароли.
Защита от смены IP, MAC27.03.03 21:38 Автор: tdes <jin> Статус: Member
я вот одного не понимаю - если юзеры меняют на своей тачке маки и айпишки, то каким образом с сервака к ним пакеты доходять ? спуфинг всегда хорош в одну сторону, но для получения инфы назад нужно ведь менять все таблицы маршрутизации... ??
> я вот одного не понимаю - если юзеры меняют на своей тачке > маки и айпишки, то каким образом с сервака к ним пакеты > доходять ? спуфинг всегда хорош в одну сторону, но для > получения инфы назад нужно ведь менять все таблицы > маршрутизации... ??
Наверное, это просто продвинутый спуффинг ;))
А вообще, если ты ставишь у себя на сетевухе чужой МАК и ИП и выходишь с ними в сеть, то откуда серверу знать, что в данный момент сидит не настоящий хозяин МАКа и ИПа, а именно ты? Вот и идёт полноценная работа в сети и обмен пакетами в обе стороны.
Ээээ...28.03.03 13:04 Автор: tdes <jin> Статус: Member
то что ты говоришь верно только в том случае, если ты меняешь мак на мак компа из той же подсети (subnet), в противном случае раутер или бридж просто не перешлют пакеты в твою подсеть.
> то что ты говоришь верно только в том случае, если ты > меняешь мак на мак компа из той же подсети (subnet), в > противном случае раутер или бридж просто не перешлют > пакеты в твою подсеть.
Ты прав, если ИП выдаётся по МАКу с рутера/сервака (по DHCP). А если такого нету, т.е. ИПы в сетке статические (прописываются самими пользователями), да ещё и разрешён доступ на сервак с компов со всех сегментов, то серваку (да и рутеру) по барабану из какого сегмената и с каким МАКом лезут - в логах всё равно будут те данные о МАКах и ИПах, с которых лазили на сервак (будь то реальный хозяин МАКа или тот, кто его себе поставил ручками)...
З.Ы. я уверен, что у вопрошавшего подсеть всего одна. ;)
Защита от смены IP, MAC27.03.03 12:18 Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
А во-вторых: прописка МАК-таблиц ручками не спасёт от одновременной смены МАКа и ИПа ;)
Хм... Во-первых: эта табличка на сервере уже есть (как сказано в посте)...26.03.03 12:10 Автор: Azzeph Статус: Незарегистрированный пользователь Отредактировано 26.03.03 12:11 Количество правок: 1
> А во-вторых: прописка МАК-таблиц ручками не спасёт от > одновременной смены МАКа и ИПа ;)
Пишеш на всех машинах мак таблици руками и запрешаеш бробкаст и всё на всех машинах даже на раб станциях
Ну не решит это проблемы! Если пользователи могут сменить МАК на машине, то и мак таблицы смогут изменить.26.03.03 15:36 Автор: fly4life <Александр Кузнецов> Статус: Elderman
Ну не решит это проблемы! Если пользователи могут сменить МАК на машине, то и мак таблицы смогут изменить.26.03.03 16:28 Автор: Azzeph Статус: Незарегистрированный пользователь
Вот здесь поподробнее, плз....
Ты предлагаешь на рабочих станциях создать какие-то МАК таблицы, при смене которых у пользователей не будет работать сетка?!?!?! Это как?
> Вот здесь поподробнее, плз.... > Ты предлагаешь на рабочих станциях создать какие-то МАК > таблицы, при смене которых у пользователей не будет > работать сетка?!?!?! Это как?
Запрешаеш шероковешательные запросы на каждой машине и толда стек тцп/ип будет маки брать из таблиц при чём срок жизни записей ставиш нограниченный и тогда если кто шибко умный начнёт в сеть слать броадкасты со словами "я самый умный и мой мак на самом деле aa:bb:cc:ff:00 " то его ни кто слушать не будет потомучто есть таблица есть статическая .
Как-то ты не по-русски пишешь... (без обид, но тяжело вникнуть в твои посты ;))27.03.03 13:42 Автор: fly4life <Александр Кузнецов> Статус: Elderman
> Запрешаеш шероковешательные запросы на каждой машине и > толда стек тцп/ип будет маки брать из таблиц при чём срок > жизни записей ставиш нограниченный и тогда если кто шибко > умный начнёт в сеть слать броадкасты со словами "я самый > умный и мой мак на самом деле aa:bb:cc:ff:00 " то его ни > кто слушать не будет потомучто есть таблица есть > статическая .
Так если взять на машине да и поменять МАК сетевой карточки (например, ключиком в реестре в виндах или ifconfig'ом в линуксе) и ИП, то не надо будет посылать никаких "шероковешательных запросов" и посылать специально сформированных запросов с поддельным обратным МАКом, эта тачка и так будет приниматься "своей", т.е. как-будто это легально находящийся пользователь. (надеюсь я понятно выразился ;))
З.Ы. ответ пытался составить на основе того, как я понял твой пост ;)
Да согласен извини за язык27.03.03 14:20 Автор: Azzeph Статус: Незарегистрированный пользователь
> тачка и так будет приниматься "своей", т.е. как-будто это > легально находящийся пользователь. (надеюсь я понятно > выразился ;)) > > З.Ы. ответ пытался составить на основе того, как я понял > твой пост ;)
Да ты всё правильно понял как реализуеш сообши заработало или не .У меня вроде мыштяк работает.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
