Как защитить локальную сеть от подключения незарегистрированых пользователей

[palexa]

Всем привет !

Есть локальная сеть, есть сервер с ОС ASPLinux server V.
Я настроил sendmail, FTP-server, DNS-server, WEB-server и DHCP
Все пользователи локалки получают настройки автоматом от DHCP.
За каждым ПК зарегистрирован ip и привязан к его MAC

Но есть проблема, есть пользователи которые приносят незарегистрированные ПК, подключаются к свичу и ручками прописывают любой свободный ip, маску, шлюз и пользуются всеми благами локалки. ( это на работе и запрещено руководством, я естественно не могу бегать по кабинетам и смотреть кто чего подключил)

Некоторые вообще оборзели, прописывают ip колеги, пока его ПК выключен

Я не администратор по професии, но сказали сделать, вот и делаю

Возможно ли это как то пресечь такое нелегальное подключение ? Заранее спасибо

[expdot]

если коммутаторы управляемые и умеют 802.1x то можно

[eddy]

Сомневаюсь: если компьютер соседа выключен, ничто не помешает прописать у себя его IP и MAC и пользоваться "всеми благами локалки".

[sash-kan]

классическое требование аутентификации и авторизации.
в рамках свичей и mac-адресов это, afaik, нерешаемо.

[palexa]

Ну если я правильно всё понял, то нужны управляемые коммутаторы, по другому никак

[neol]

Раз это распоряжение руководства, то проще и эффективнее будет ловить по паре умников в месяц и лишать премии.

[eddy]

классическое требование аутентификации и авторизации.

Не думаю, что это поможет. Даже если, скажем, пароль и логин пользователя прокси будут привязаны к IP и MAC, есть методы "социальной инженерии", так что вполне легко узнать регистрационную информацию соседа для прокси. Далее просто меняем IP и MAC ноутбука, вводим нужную регистрационную информацию в настройки прокси - и вуаля! Администратор никак не сможет узнать, что включен чужой компьютер.

[Voral]

А что за фирма (точнее специализация работников)? Прям таки все спокойненько могут поменять мак адрес? Или хотя бы знают о его существовании?
Вполне возможно, что и мак адресов достаточно. не?

А вообще логин/пароль и пусть каждый сам отвечает за походы от этого логина. Если он свой пароль пигшет на клавиатуре,Ю то это будут его проблемы. И от подобных привычек надо по любому отучать

[BIgAndy]

Снести все жесткие диски и установить thin client
Использовать специальные разъемы с возможностью пломбирования. Очень неплохо работает.

[palexa]

Организация военная, поэтому отлавливать и лишать премии не реально. Управление связи запретило подключать личные ПК, но людям пофиг, и главная отмазка, "Нам нужно работать, а Вы ПК нам не даёте в достаточном количестве", вот и приносят свои ноуты.

MAC адреса не меняют, просто настраивают подключение к локальной сети, любой свободный ip (или занятый при выключеном ПК владельца ip), маску, шлюз и этого достаточно что бы зайти на FTP-server, посмотреть сайт (который в локальной сети), отправлять и получать почту (если зарегистрирован почтовый адрес)

Наша сеть входит в Интранет ( то есть много локальных сетей связаны между собой)

Для того что бы "нелегальные" пользователи не шарились по разшарам, решили позже настроить контролер домена (уже поставили ПК с ОС Windows server 2003 и там же настроили ещё один FTP-server

P.S. Мне кто то говорил, что если dhcp настроить на Windows server 2003 - то ПК с не зарегистрированом в DHCP MACом не смогут подключиться к локалке если ip зареген для другого ПК, а свободные ip зарезервировать. Не знаю, что то мало верится.

[BIgAndy]

Организация военная,

Тогда на КПП настроить фильтрацию по ноутам.

MAC адреса не меняют

Тогда все проще. Настроить привязку dhcp к мак адресам.

[sciko]

MAC адреса не меняют, просто настраивают подключение к локальной сети, любой свободный ip (или занятый при выключеном ПК владельца ip), маску, шлюз и этого достаточно что бы зайти на FTP-server, посмотреть сайт (который в локальной сети), отправлять и получать почту (если зарегистрирован почтовый адрес)

Это решается банальной настройкой DHCP на принятие mac только из списка. Ещё можно уменьшить время жизни адреса и периодически менять данные для подключения (чтобы жёстко не прописали).

[pelmen]

Можно еще маршрутизатор настроить на прием пакетов только от известных мак-адресов, да только это все какие-то костыли. Ведь мак-адрес соседа можно просто узнать, подменить на него, когда тот будет выключен, и работать. Если пользователи не меняют мак-адреса, это значит, что либо они это не умеют делать (не знают о таком понятии), либо это им не нужно (т.к. сейчас привязка к макам не настроена). А когда настроишь - появятся пользователи (1-2), которые будут менять и мак.

[palexa]

Ну так и делаю

Учитвая что я в линуле не профи, я пользуюсь webmin

Включаю DHCP создаю сеть 10.241.1.4-10.241.1.250
Создаю подсеть, например uprava
В нужные поля прописываю адрес шлюза и DNS и маску

Добавляю ПК вписываю IP и привязываю его к физическому адресу. Сохраняю. и так все компы

Теперь если Пк включить, он получить все нужные настройки от DHCP

Но если в сеть подключаеться "Левый" ПК и пользователь пропишет в настройках сетевого подключения ip. маску, шлюз и ДНС всё сам, ему ничего не мешает получить ip и лазить по сети

Если это возможно запретить средствами DHCP, то может кто то даст пример конфига или подробнее пояснит как это сделать через webmin (там есть какието настройки, но я не понимаю в них особо

MAC менять не будут, таких умных у нас нет

[BIgAndy]

Если это возможно запретить средствами DHCP, то может кто то даст пример конфига или подробнее пояснит как это сделать через webmin (там есть какието настройки, но я не понимаю в них особо

man dhcpd.conf на предмет hardware addres
Ну, и ТЫЦ

[sciko]

Я сегодня добрый. В качестве защиты от статики можно поставить аренду на 1 сутки и ночью (когда все компы отключены) менять параметры подключения.

[palexa]

Спасибо ребята за помощь и направление в нужное русло. Приду на работу буду пробовать.

[eddy]

MAC адреса не меняют,

Это же настолько элементарно, что запросто будут менять, если надо будет

[sciko]

И что вы предлагаете? Насколько я знаю, защититься от подмены mac никак нельзя.

[palexa]

MAC менят не будут, не тот контингент, они про ip и настройки сети узнали только потому, что раньше не было DHCP и всё было прописано руками на ПК. Потом только поставили DHCP и на рабочих пк поставили получить автоматически. А личные ПК просто не прописали и отключили от свичей. Вот и хватает ума подключить самостоятельно и стырить ip у колеги

[expdot]

И что вы предлагаете? Насколько я знаю, защититься от подмены mac никак нельзя.

можно реализовать 802.1х авторизацию. то есть на защита канальном уровне

Потом только поставили DHCP и на рабочих пк поставили получить автоматически.

если коммутаторы умеют DHCP Snooping то можно сделать автоматическую привязку mac + арендованный ip на коммутаторе

сколько серверов?
если один, то можно сделать статическую arp таблицу на сервере и тогда никакой выгоды от доступа в сеть с чужего ip не будет

[palexa]

если коммутаторы умеют DHCP Snooping то можно сделать автоматическую привязку mac + арендованный ip на коммутаторе

Да обыкновенные ХАБы, ну откуда у военных модные коммутаторы ?

[eddy]

откуда у военных модные коммутаторы

Военные работают в мастдае?
Мне страшно за нашу страну...

[palexa]

Мне страшно за нашу страну...

Есть один маршрутизатор CISCO - для связки с другими локальными сетями. Разорились фантастически. У нас если ПК освобождается, то уже за месяц бегают с посьбами, "отдайте мне". Так что если бы я сказал шефу, что нужно закупить управляемые свичи, он бы меня не понял. Нам обыкновенных, и то не хватает, приходится пользователям самим покупать, что бы в сети быть

[Ism]

Тогда вам действительно поможет только статическая таблица mac адресов на сервере (arp таблица) По умолчанию сервер разрешает (дает соответствие ip и maс) для любых mac . В случае статической arp таблицы компы с посторонними mac просто не увидят локальной сети (вернее компов со статической таблицей), даже присвоение ip адреса будет бесполезным.

Недостаток, всю таблицу придется поддерживать в ручную на сервере, и других машинах, которые вы хотите скрыть.

Также вопрос, у вас свитчи в сети или хабы ? Если свитчи , то там должны быть acl (правила фильтрации пакетов) .

В сетях ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.

UPD Кажется я наворотил лишнего с arpб надо было подумать %)

[sciko]

можно реализовать 802.1х авторизацию. то есть на защита канальном уровне

Piggy backing?

[palexa]

Также вопрос, у вас свитчи в сети или хабы ? Если свитчи , то там должны быть acl (правила фильтрации пакетов)

Наверно их правильно назвать ХАБы, потому что зайти на них нельзя, только пощупать .

[sash-kan]

есть пользователи которые приносят незарегистрированные ПК

вот для начала вам и надо выработать ряд критериев: чем «зарегистрированный» компьютер отличается от «незарегистрированного», чем пользователь, пользующийся «зарегистрированным» компьютером, отличается от пользователя, пользующегося «незарегистрированным».
разобравшись с этими двумя критериями, станет слегка понятней, какими средствами следует бороться и, главное, с кем и с чем бороться, и стоит ли бороться вообще.

[palexa]

вот для начала вам и надо выработать ряд критериев: чем «зарегистрированный» компьютер отличается от «незарегистрированного», чем пользователь, пользующийся «зарегистрированным» компьютером, отличается от пользователя, пользующегося «незарегистрированным».
разобравшись с этими двумя критериями, станет слегка понятней, какими средствами следует бороться и, главное, с кем и с чем бороться, и стоит ли бороться вообще.

Ну вообще то есть такое понятие "защита информации"

На рабочих ПК нет возможности вставить флешку, диск или дискету, то есть информация может циркулировать только в пределах сети (она не секретная, но не для чужих глаз)

Свой ноутбук человек берёт домой, и совсем неизвестно, кто и с какой целью может эту информацию скопировать, я уже не говорю о том, что ноутбук могут украсть или потерять

Плюс приносит на своём ноуте всякую вирусню, которой потом заражает ПК в сети

Запрет использования своих ноутбуков в локальной, это как минимум защитит от доступа к документам посторонних лиц

[Goodvin]

Ну вообще то есть такое понятие "защита информации"

На рабочих ПК нет возможности вставить флешку, диск или дискету, то есть информация может циркулировать только в пределах сети (она не секретная, но не для чужих глаз)

О какой такой "защите информации" Вы говорите, если у Вас там проходной двор и разнообразные люди могут бесконтрольно и невозбарнно вносить и выносить ноутбуки?

Свой ноутбук человек берёт домой, и совсем неизвестно, кто и с какой целью может эту информацию скопировать, я уже не говорю о том, что ноутбук могут украсть или потерять

Запрет использования своих ноутбуков в локальной, это как минимум защитит от доступа к документам посторонних лиц

Не в том месте Вы запрет прикладываете.
К проблеме надод подходить комплексно.
Если у корабля в каждом борту пробоина такого размера, что вражеские водолазы ходят скозь него как у себя дома, то мыть полы в кают-компании бесполезно.