Как защитить локальную сеть от подключения незарегистрированых пользователей

[palexa]

Ну это не мне решать, кто и чего может тягать на работу. Я человек маленький.
Мне чётко поставили задачу. Закрыть доступ к сети не зарегистрированным ПК. А как я это делать буду, не особо кого то волнует. Хоть стой с дубиной на КПП и сумки проверяй. Но это же не выход.

Есть методы, значит надо думать. Конечно если я этого не смогу сделать, меня никто не "убьёт", но и по голове не погладит.

[sciko]

Хоть стой с дубиной на КПП и сумки проверяй.

Прекрасный вариант. Только пусть стоят специально для этого обученные люди.

[Goodvin]

Ну это не мне решать, кто и чего может тягать на работу. Я человек маленький.
Мне чётко поставили задачу. Закрыть доступ к сети не зарегистрированным ПК. А как я это делать буду, не особо кого то волнует. Хоть стой с дубиной на КПП и сумки проверяй. Но это же не выход.

Есть методы, значит надо думать. Конечно если я этого не смогу сделать, меня никто не "убьёт", но и по голове не погладит.

Ну так и выдайте решение:
- закупить управляемые свичи
- закупить средства контроля доступа в сеть (см. в сторону электронных ключей)
- установить строгий регламент доступа в помещения, где есть сеть, и вноса-выноса техники

Ведь если завтра прикажут построить оптоволоконную сеть - вы же не будете из дома оборуджовани приносить, купленно за свои деньги? И медную витуху в оптику превратить не сможете.

Нужно ставить перед собой реальные задачи.
В том виде, в котором Вы описываете задачу, она решения не имеет.

[arkhnchul]

можно тупо все ресурсы размещать внутри впн-а какогонить, ключи никому не давать, а просто локалку оставить только для подключения к оному. Костылище феерический, но по идее в общих чертах оно.

[sash-kan]

Костылище феерический

это самое нормальное применение той технологии, которая во всём мире (за пределами маркетингового отдела microsoft) называется «виртуальная частная сеть».

закупить управляемые свичи

совершенно не понятно, чем они помогут в наличествующей картине мира.
а вот в случае перемещения всего продуктивного общения внутрь виртуальной частной сети, управляемые свичи как раз и помогут ограничить прямое общение между компьютерами в сети, сведя его к «звёздной» схеме.

upd. ну и про kerberos не стоит забывать, чтобы vpn-сервер не становился бутылочным горлышком. тогда и управляемые свичи не потребуются.

[expdot]

что действительно никто не слышал про 802.1х?

и самое простое решение - ввести статический arp на сервере

[Ism]

Свой ноутбук человек берёт домой, и совсем неизвестно, кто и с какой целью может эту информацию скопировать, я уже не говорю о том, что ноутбук могут украсть или потерять

Решение - терминал сервер. http://ru.wikipedia.org/wiki/Терминальный_сервер

[eddy]

и самое простое решение - ввести статический arp на сервере

И чем это спасет от

Код: Выделить всё

ifconfig eth0 hw <любой MAC-адрес> <любой IP адрес>

?

[DaemonTux]

и самое простое решение - ввести статический arp на сервере

от замены мака он не спасет

[pelmen]

что действительно никто не слышал про 802.1х?

Я видел в networkmanager-е вкладку про аутентификацию что-то там 802.1х (ЭТО ИМЕННО ТАМ, ГДЕ СТАТИЧЕСКИЙ АДРЕС, МАСКУ И ШЛЮЗ ВБИВАТЬ!), но я не знаю, что это, как работает и как настроить. Может быть это то, что нужно автору темы?

[arkhnchul]

это самое нормальное применение той технологии, которая во всём мире (за пределами маркетингового отдела microsoft) называется «виртуальная частная сеть».

ну тут это костылем и будет - локальная сеть все равно останется для нелегалов.

[sciko]

что действительно никто не слышал про 802.1х?

С удовольствием послушаю как будет организована защита хотя бы от Piggy backing.

[expdot]

от замены мака он не спасет

это остановит основную волну насилия
при чем без дополнительных материальных затрат

дальше все решается введением политик безопастности (ГОСТ/Р ИСО МЭК 17799-2005) и каранием начальством

С удовольствием послушаю как будет организована защита хотя бы от Piggy backing.

не совсем понял о чем речь. на вики написано смутно

[Goodvin]

закупить управляемые свичи

совершенно не понятно, чем они помогут в наличествующей картине мира.

Я к тому, что подход к проблеме должен быть системный, а не по принципу "оторвём штанину, чтобы перевязать палец, лежа на рельсах перед приближающимся поездом".
Оборона должна быть эшелонированной.

[expdot]

С удовольствием послушаю как будет организована защита хотя бы от Piggy backing.

нашел такое определение

The process of sending data along with the acknowledgment is called piggybacking.

и где тут уязвимость?
это вообще фишка tcp протокола

[Alex2ndr]

Насколько я понимаю Piggybacking это термин обозначающий доступ к беспроводной сети, путем принесения например ноута в ее зону действия и несанкционированное использование ее ресурсов. Короче вот - http://en.wikipedia.org/wiki/Piggybacking_...ernet_access%29

Т е имеется в виду защита от несанкционированного подключения. Так вроде...

[palexa]

Я сегодня добрый. В качестве защиты от статики можно поставить аренду на 1 сутки и ночью (когда все компы отключены) менять параметры подключения.

Трудно быть по пояс деревянным, делаю как посоветовали

1. Создаю файл /etc/ethers.local - для начала пишу там для 2-х ПК

Код: Выделить всё

10.243.1.38 00:19:DB:25:66:ED
10.243.1.64 00:1D:7D:95:2A:31

2. Создаю файл /etc/static.arp

Код: Выделить всё

#!/bin/sh
# обнуляем всю таблицу arp
arp -ad > null
# к каждому компу в локальной сети привязываем несуществующий (нулевой)
# MAC адрес
I=1
while [ $I -le 254 ]
do
arp -s 10.243.1.${I} 0:0:0:0:0:0
I=`expr $I + 1`
done
#  к реально существующему компу в сети из базы данных в файле
# /etc/ethers.local  привязываем
#  правильный MAC адрес
arp -f   /etc/ethers.local

В свойствах этого файла - Права - Позволить выполнение файла как программы (ставлю галочку)

3. Открываю файл rc.local текстовым редактором и дописываю строку в самом низу

Код: Выделить всё

/etc/static.arp

Перегружаю Linux

Подключаю свой ноут, и всё работает как работало, никаких изменений, ставлю любую ip и всё ОК

Чего я не понял ? Может не то совсем делаю ?

[expdot]

rc.local дистроспецифичный файл. он существовал или вы его создали?
какой у вас дистрибтив?

выполните команду
ip neigh show
соответствие mac-ip должны быть статичными

[palexa]

rc.local дистроспецифичный файл. он существовал или вы его создали?

Файл уже был, я только дописал строку ниже
Открываю файл rc.local текстовым редактором и дописываю строку в самом низу

какой у вас дистрибтив?

ASPLinux Server V

выполните команду
ip neigh show
соответствие mac-ip должны быть статичными

Выполнил, получил ответ

10.243.1.16 dev eth0 lladdr 00:0d:87:3b:76:1f STALE
10.243.1.111 dev eth0 lladdr 00:1a:92:b4:d4:a4 REACHABLE
10.243.1.56 dev eth0 lladdr 00:17:31:da:60:a5 STALE
10.243.1.252 dev eth0 lladdr 00:18:19:f2:e9:c1 DELAY
10.243.1.120 dev eth0 lladdr 00:1d:60:f8:7a:01 STALE
10.243.1.6 dev eth0 lladdr 00:13:77:93:77:42 REACHABLE
10.243.1.112 dev eth0 lladdr 00:13:8f:b5:1d:89 STALE

[expdot]

при выолнении скрипта состояние должно быть PERMANENT пример

Код: Выделить всё

$ ip ne
192.168.0.100 dev wlan0 lladdr 00:00:12:23:34:45 PERMANENT
192.168.0.200 dev wlan0 lladdr 00:00:23:34:45:56 PERMANENT

попробуйте вручную запустить

Код: Выделить всё

# /etc/static.arp

что при этом выхоит?
и потом снова

Код: Выделить всё

$ ip neigh show

[palexa]

попробуйте вручную запустить

Код: Выделить всё

# /etc/static.arp

что при этом выхоит?

открываю терминал
пишу /etc/static.arp

получаю ответ

[root@local /]# /etc/static.arp
-bash: /etc/static.arp: /bin/sh^M: плохой интерпретатор: Нет такого файла или каталога
[root@local /]#

и потом снова

Код: Выделить всё

$ ip neigh show

в терминале выполняю

ip neigh show

Получаю ответ

[root@local /]# ip neigh show
10.243.1.134 dev eth0 lladdr 00:13:77:3d:f3:a6 STALE
10.243.1.56 dev eth0 lladdr 00:17:31:da:60:a5 STALE
10.243.1.102 dev eth0 lladdr 00:05:5d:29:30:c5 STALE
10.243.1.120 dev eth0 lladdr 00:1d:60:f8:7a:01 REACHABLE
10.243.1.100 dev eth0 lladdr 00:80:48:13:3a:5d STALE
10.243.1.16 dev eth0 lladdr 00:0d:87:3b:76:1f STALE
10.243.1.38 dev eth0 lladdr 00:19:db:25:66:ed STALE
10.243.1.252 dev eth0 lladdr 00:18:19:f2:e9:c1 DELAY
10.243.1.4 dev eth0 lladdr 00:30:48:74:df:dd STALE
10.243.1.7 dev eth0 lladdr 00:24:1d:a8:3e:be STALE
10.243.1.6 dev eth0 lladdr 00:13:77:93:77:42 REACHABLE
[root@local /]#

Прям даже не знаю, такое ощущения, либо это невозможно, либо я совсем криво всё делаю

[palexa]

посмотрел внимательно
/etc/rc.local это ссылка на /etc/rc.d/rc.local - это так, к тому что я это заметил

[reji]

[root@local /]# /etc/static.arp
-bash: /etc/static.arp: /bin/sh^M: плохой интерпретатор: Нет такого файла или каталога
[root@local /]#

Судя по "^M", в вашем скрипте разделители строк, принятые в Виндовс, CR+LF. В *никс же принято использовать LF.
Это можно исправить командой sed -i 's/\r//' /etc/static.arp

[palexa]

reji - спасибо

Судя по итогу, я добился что теперь компы, которых нет в списке static.arp не имеют доступа к этому серверу, но всё остальное есть, расшары юзеров, локальные фтп

Проблема в том, что если чел не в списке присвоит чужой ip. то владелец получит дулю

[palexa]

может есть способ скрыть ПК которые есть в списке /etc/static.arp от тех которых нет в этом списке ?

[expdot]

нужны управляемые коммутаторы

[Ism]

Чисто теоретически, я гдето читал статью, что можно жестко связать комбинацию mac адрес + ip , то есть если ктото присвоит этот же ip на другом компе с другим mac, то сервер его просто не пустит.
Так как у вас врядли ктото догадается сменить mac (если только ву не проговоритесь %)), то тогда можно просто однозначно идентифицировать все компы, и чужие просто не будут работать.

А то, что чужой комп будет видеть остальные компы в сети, так что в этом толку.

Гуру может чтото знают по этому поводу ?

[BIgAndy]

Чисто теоретически, я гдето читал статью, что можно жестко связать комбинацию mac адрес + ip ,
.....
Гуру может чтото знают по этому поводу ?

Скорее всего вы читали man dhcpd. Там это описано.
В первых трех-пяти постах этого треда описываются параметры dhcp для таких настроек.
Велосипеды изобретать не надо. Сначала исследуйте штатные средства.

[palexa]

Выше писал, указанный метод позволяет просто не пустить на сервер ПК, которых нет в списке static.arp (ip+mac)

Но ip машине никто не сможет запретить присвоить, ведь сервер не эмулирует, что ip занята. Поэтому "захватчик ip" сможет видеть другие компы и доступ к ним по ftp, создаст трудности реальному владельцу ip (если захватит чужую ip, а не свободную)

Но дальше сервера, так как я его сделал шлюзом, никуда пробиться не сможет (точнее он даже сервера увидеть не сможет)

[Demius]

Прошу прощения что поднял старую(наверное) тему. Но почитал и в ужас пришёл что только не советуют.

Мдя вообще самый простой вариант это сделать ДОМЕН и все СЛУЖЕБНЫЕ компы ввести в него, а там уже сделать группы пользователей и дать всем права обычных пользователей, а под ним нельзя менять настройки сетевой карты и всё вся сеть закрыта. Доступ к ФТП также разграничивается через домен.