Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Конфликт IP
 
Возникла такая проблема: один сотрудник случайно выставил вручную на своем компе в качестве IP-адреса IP-адрес шлюза. В результате, ни шлюз ни этот комп не видели сетку, что понятно. Эту проблему мы решили, но возник вопрос неужели так легко можно завалить какой-нибудь комп в сети?
Как-то с этим можно бороться?
В частности интересует как это можно (если можно) сделать на FreeBSD 4.x (почему в этот форум и написал)

Понятно, что можно определить MAC-адрес той сетевухи и попытаться ее отыскать (что тоже не так-то просто, когда компов около 200 и большинство свитчей не программируемые и на них не посмотришь где эта сетевуха), но это очень долго...
 
Мне кажется это можно сделать с помощью permanent записей в arp-таблице. По крайней мере я в свое время так и делал.
arp -s inet_addr mac_addr (для XP)
после этого машинка всегда будет однозначно сопоставлять данный IP-адрес с этим MAC-адресом.
что конечно тоже не всегда удобно.
 
Это конечно выход, но прописывать придется на всех машинах.
 
складывается ощущение, что в сетке большей чем 8 компьютеров уже нужно поддерживать актуальной базу пользователей, где с каждым пользователем связан его MAC адрес. для предотвращения и разбора различных инцидентов.
 
Цитата
CoreBug пишет:
Это конечно выход, но прописывать придется на всех машинах.
ну да.
блин, если кто еще не понял - безопасность и эффективность работы вещи если и не взаимоисключающие, то по крайней мере ортогональные =)
 
Use DHCP!!!!
 
Точно юзай DHCP егоне обязательно поднимать на шлюзе можно на другом компе с серверной виндой
 
Цитата
"CoreBug" пишет:
один сотрудник случайно выставил вручную на своем компе в качестве IP-адреса IP-адрес шлюза.
Всего-лишь попытка (удачная/неудачная) получить имена/пароли для доступа к шлюзу.

2 Acid
DHCP не спасет от повторной замены/установки вручную ип-адреса.

Поможет обрезание прав пользователей с запретом изменения параметров сетевого окружения, если рабочие станции под Win2K/WinXP.
 
в общем тебе надо поставить на FreeBSD arpwatch, а вот на компах прописать МАС адрес шлюза статически. как выше говорили: arp -s. При этом надо учесть, что на Windows 2000 даже если "arp -s" вызван, то все равно ложный ARP ответ перезапишет в таблице W2K этот MAC адрес. так что переходите на XP.
DHCP не спасет. Он тут вообще ни при чем.
Еще наверно хорошо бы тебе иметь таблицу всех MAC адресов твоей сети. Мало ли кого придется потом искать по MAC адресу. Лучше сделать это заранее, чтобы уменьшить время поиска в критической ситуации.
 
Цитата
ksiva пишет:
в общем тебе надо поставить на FreeBSD arpwatch, а вот на компах прописать МАС адрес шлюза статически. как выше говорили: arp -s. При этом надо учесть, что на Windows 2000 даже если "arp -s" вызван, то все равно ложный ARP ответ перезапишет в таблице W2K этот MAC адрес. так что переходите на XP.
DHCP не спасет. Он тут вообще ни при чем.
Еще наверно хорошо бы тебе иметь таблицу всех MAC адресов твоей сети. Мало ли кого придется потом искать по MAC адресу. Лучше сделать это заранее, чтобы уменьшить время поиска в критической ситуации.

Я прописал в стартовые скрипты arp -s. Понятно, что DHCP никак не поможет от ручного выставления неверного IP, у меня и так сейчас DHCP. За подсказку про arpwatch спасибо.
 
Цитата
CoreBug пишет:
За подсказку про arpwatch спасибо.
пожалста. все праздники думал как решить твою проблему. похоже это единственное решение.
 
Маки тоже легко меняются!
 
Цитата
Sniff пишет:
Маки тоже легко меняются!
угу. только тема была "Конфликт IP", а не MAC.
 
Доброе время суток.

CoreBug написал:
"Понятно, что можно определить MAC-адрес той сетевухи и попытаться ее отыскать (что тоже не так-то просто, когда компов около 200 и большинство свитчей не программируемые и на них не посмотришь где эта сетевуха), но это очень долго..."

И что ж тут непростого и долгого?
Я так понял ипы статические? Ну дык заведи базу по юзверям.
Просканировать сеть на маки - 15 сек, а дальше веди логи, учитывающие появление новых, и изменение старых.
Если в сетке есть вэб-сервак, скинь всю эту работу на него.

З.Ы. Насколько я знаю, есть разница между поведением разных осей на подобную ситуацию (присвоение своего адреса чужому интерфесу), некоторые вроде ваабще не дают поменять
                      ... или я не прав? :)
 
IP у меня не статические. Статические только у серваков, но это я уже решил через arp -s (см. выше). А за изменением MAC'ов рабочих станций приходится просто следить (arpwatch)...
 
К CoreBug - да Вы батенька мазохист! 8))

Дружеский совет:
1) DHCP в сетке - убрать. IP - статика ONLY!  Желательно нарисовать план помещения с нанесенными на нее IP'шниками. Всегда знаешь ли приятно знать где стоит нужная машинка.
2) Права у юзверер - отвинтить все (иначе будешь бегать к ним всю оставшуюся жизнь траблы фиксить)
3) Если машин много - всех в домен. Как показывает практика количество машин только растет, а в домене ими рулить куда проще. Да и при DC нагрузка на сеть существенно ниже.
4) arpwatch на FreeBSD - обязательно.
5) По возможности заменить свичи на управляемые. (советую 3Com 4400 - дорого, но они работают!!!) Объединил их в стэк поднял ipsec, что еще для жизни нужно?
 
Цитата
Sbis пишет:
1) DHCP в сетке - убрать. IP - статика ONLY!  Желательно нарисовать план помещения с нанесенными на нее IP'шниками. Всегда знаешь ли приятно знать где стоит нужная машинка.
Со статическими IP'шниками тоже проблем достаточно. Например нужно обязательно хранить базу всех IP'шек и за кем они закреплены, а админов несколько, кто-нибудь да забудет вписать (уже было, дошло до того, что пинговали случайный IP'шник, если не отвечал - ставили его, при этом неизбежны конфликты, потом перешли на DHCP). И в случае изменения каких-то глобальных настроек, таких как Default router, DNS, придется оббегать все машины и менять там. К тому же я планирую поднять Remote Installation Services.

Цитата
Sbis пишет:
2) Права у юзверер - отвинтить все (иначе будешь бегать к ним всю оставшуюся жизнь траблы фиксить)
Кое-где еще стоят 9x, с которыми это не пройдет, правда надеюсь, что ближайший месяц их не будет...

Цитата
Sbis пишет:
3) Если машин много - всех в домен. Как показывает практика количество машин только растет, а в домене ими рулить куда проще. Да и при DC нагрузка на сеть существенно ниже.
Уже

Цитата
Sbis пишет:
5) По возможности заменить свичи на управляемые. (советую 3Com 4400 - дорого, но они работают!!!) Объединил их в стэк поднял ipsec, что еще для жизни нужно?
Это будет слишком дорого... руководство на это не пойдет.
 
- ip, трудно базу создать? Пользуйся Cain & Abel. Облегчит труд очень, а план иметь нужно ибо как сам гришь свичи не управляемые - если одна машина чтой нить подхвати? Порт не вырубить - бегать исскать ее?
- часто меняешь Default router, DNS... это плохо. Подумай над конфой сети - сделай и не трогай.
Ибо есть "ВЕЛИКОЕ ПРАВЕЛО" - работает - не трогай!
 
В "Положении о персонале" организации строго прописать ответственность пользователя за изменение сетевых настроек компьютера (да и за установку софта не мешало бы). Затем пару раз поймать кого-нибудь, создать прецедент. Публично об этом заявить и лишить премии процентов на 20.
Поверьте, желание выставить чужой ip-адрес у них пропадет навсегда.
 
А вот насчет "Положения о персонале" - очень хорошая идея.
Страницы: 1 2 След.
Читают тему