|
07.05.2003 16:26:09
Поддержиаваю lOOSky. Я, например, даже не напрягаюсь вникать во все это. Мало того, что куча ошибок, так еще написано так, что не сразу поймешь, что имел в виду. |
|||
|
|
|
|
07.05.2003 19:03:25
ладно сорри за мое скоропечатанье !
нужно защититься от подставления ИП адресов ! зделать как то привязку по мак адресам и или что то другое! вот и спрашиваю |
|
|
|
|
|
07.05.2003 19:25:43
Пардон, кому надо защититься, в какой ситуации?
Когда подключившись к домашней локалки, я заметил сообщение о конфликте адресов, я выдернул патч корд и позвонил администратору. Пол часа я побыл без сети, зато тот гад теперь больше никогда не сможет мне помешать. Защитился я? По-моему очень даже. Или тебе нужно знать как действовать администратору домашней сети? Или тебе нужно знать как действовать провайдеру, выделяющему диапазон адресов какой-либо организации? |
|
|
|
|
|
07.05.2003 19:31:33
пониматет я думаю что там админы совершенные похеристы им пофигу на все
вот к примеру ситуация моя подружка стала юзать инет берет после юзанья инета выключает комп не закрыв авторизацию / после этого ночью какая то сволочь подставляет ее ип у себя на компе и юзает ее инет! мне нужен софт для фрибсд чтоб такое можно было оградить ! вот я слышал что есть софт создает привязки по мак адресам / но что за софт и принцип его работы я не видел в глаза вот и хачу помочь провайдеру чтоб такого не было и впредь не повторялось на маршрутниках поставить софтину  ( тока руткиты не предлогать ) |
|
|
|
|
|
07.05.2003 20:24:53
Не понимаю, как при не закрытой авторизации (авторизации на чем, к чему? почему при выключении компа не закрывается сессия?), при подмене айпишника можно инет своровать. Это как же устроено?
Я так понимаю, что у подруги (в смысле у ее компа есть статический айпи адрес, прописанный в свойствах TCP/IP.Она может свободно ходить по внутренним ресурсам локалки, и за это не платит. Когда ей нужно зайти в инет, она подсоединяется через vpn клиента. Радиус ее авторизует по логин-паролю. Дает еще один айпи адрес (посмотри ipconfig /all), после чего можно ходить по инету, и за этот траффик берут деньги. Для начала скажи, я правильно понял? |
|
|
|
|
|
07.05.2003 20:36:28
не совсем
вот сматри пров выделяет всем ипы 213.140.*.* у каждого клиента прописан он есть билинг в котором есть такие варианты тарфика внутригород = стокото копеек мег внешний = стокото рублей внутрисетевой = о копеек т/е чел выходит н аавторизацию без впн на сайт и открывает на свой логин и пароль котрый привязан к ипу доступ тот котрый ему нада! соотвсевнно забыв закрыть доступ любой чел может подменить ип адрес и юзать инет / внутригород/ внутрисеть теперь понятно ? |
|
|
|
|
|
07.05.2003 21:00:06
То есть как?
Человек включает компьютер, набирает в браузере адрес веб сайта провайдера, попадает на страницу авторизации, набирает в ней логин-пароль, аутентификация происходит на вебсервере с привязкой к айпи адресу. Далее при успешной аутентификации, посылается сигнал на открытие портов для айпи адреса, с которого происходила аутентификация, а при логофе посылается команда на закрытие портов. Таким образом, если не сделать логоф, то для определенного айпи адреса остается доступ в инет. Злоумышленник перебирая у себя ночью айпишники, смотрит нет ли какого ли лоха, который не залогофился. Ну теперь я тебя правильно понял? Если да, то скажу сразу, что во-первых, система жутко дурацкая, во-вторых софтины что ты спрашиваешь я не знаю, а чтобы ее найти нужно знать подробности о используемой аутентифицирующей системе. И в третьих, все ж сводится к тому как не допустить перебор айпишников, а сделать доступ по макам. В форуме неоднократно поднимался этот вопрос и все дают одну рекомендацию: проводить фильтрацию на свитчах. Поищи в форуме слово VLAN. |
|
|
|
|
|
07.05.2003 21:18:53
во пярмо в цель
у нас не свечи у нас хабы перебор ипов легко осуществить вот я и спрашиваю чтоб исключить перебор ипов нужно привязать каждый ип к мак адерсу карты но как это зделать вот в чем трабл ! |
|
|
|
|
|
07.05.2003 22:11:49
привязка по мак адресам не поможет, т.к. мак адрес с легкостью можно сменить. одно из решений... И вообще, почитай hub.ru, там это уже обсуждалось...
|
|
|
|
|
|
07.05.2003 23:36:42
Поможет, от тех кто не сможет с легкостью сменить мак Без свитчей вообще нет, на мой взгляд, правильного решения. Соорудив VLAN, можно каждый порт на свитче привязать к определенному маку. Т.е. если гад поменял у себя айпи или даже мак - его траффик отфильтруется, потому что к тому порту, к какому он подключен можно зайти только с определенным маком и айпи. А решение от Хэша красиво своей простотой и дешевизной, но оно не универсально. Насколько я понял из беглого осмотра, на какой-нить машинке периодически запускается перловый скрипт, проверяющий соответствие определенного айпишника с определенным маком (соответствие берется из заранее заготовленного файла). И в случае, если соответствия нет - админу посылается алерт. Но ведь, Хэш, ты сам сказал, что мак легко поменять, а еще легче фаерволлом перекрыть ICMP. Так что не побоюсь повториться - софтового решения, наверное, все таки нет - одни уловки. Если кто знает - поделитесь! |
|||
|
|
|
|
08.05.2003 00:59:32
Действительно, софтового решения данной проблемы не существует. А управляемые свитчи, стоят денег... Просто не зря, в НОРМАЛЬНЫХ биллингах, кроме привязки ип-мак, используется еще и пароль. Но не проще ли сделать нормальный логофф для биллинга? За определенную цену, я возьмусь за это.
 |
|
|
|
|
|
08.05.2003 19:24:11
хэш, думаешь, они человека поближе найти не смогли бы, если бы хотели?
|
|
|
|
|
|
09.05.2003 04:37:12
Я просто предложил одно из решений данной проблемы. А там уже {CaSpEr} решит, если захочет, какому человеку поручить...
|
|
|
|
|
|
10.05.2003 11:45:25
ну хорошо примерно сколько будет это стоит ? всю инфу хеш в приват 5)
|
||||
|
|
|
|||
