Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
xt
Зарегистрирован: 17.12.2002 Сообщения: 557 Откуда: Донецк, UA
|
Добавлено: Вт Мар 04 2003 12:28 Заголовок сообщения: Хочу узнать ваше мнение |
|
|
Вобщем возникла проблема - юзеры меняют IP и юзают инет. Второй админ предложил поднимать VPN. Но ИМХО это стрельба из пушки по воробьям (ведь VPN не для этих целей создавалась, да и нагрузка на сервер возрастёт из-за шифрования), можно ли другим способом решить эту проблему? |
|
Вернуться к началу |
|
|
TepKuH Гость
|
Добавлено: Вт Мар 04 2003 12:56 Заголовок сообщения: привязка к ИП к маку. Но тоже обходимо(-) |
|
|
- |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Мар 04 2003 13:02 Заголовок сообщения: Это не пушка, а снайперская винтовка с офишенным прицелом (+) |
|
|
VPN решает проблеммы авторизации и аутентификации, а так же кражи пароля.
VPN - правильное решение. Его трудно сломать. А вот MAC/IP/пароль - довольно легко. |
|
Вернуться к началу |
|
|
ALEX_SE Гость
|
Добавлено: Вт Мар 04 2003 13:07 Заголовок сообщения: Re: Это не пушка, а снайперская винтовка с офишенным прицелом (+) |
|
|
А поднять arpwatch, посмотреть кто меняет, и юзерам по башка? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Мар 04 2003 13:10 Заголовок сообщения: Тоже вариант. И весьма неплохой. Но он не защитит от "тихих" хакеров (-) |
|
|
- |
|
Вернуться к началу |
|
|
xt
Зарегистрирован: 17.12.2002 Сообщения: 557 Откуда: Донецк, UA
|
Добавлено: Вт Мар 04 2003 13:58 Заголовок сообщения: Ну а если MAC поменять?(-) |
|
|
ну а если мак поменять |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Вт Мар 04 2003 14:08 Заголовок сообщения: Re: Хочу узнать ваше мнение |
|
|
а какие виды трафика необходимы юзерам ? в общем клоню я к прокси с авторизацией. |
|
Вернуться к началу |
|
|
kolya grechukh Гость
|
Добавлено: Вт Мар 04 2003 14:16 Заголовок сообщения: Re: Хочу узнать ваше мнение |
|
|
dhcp -> постоянные адреса -> привязанные к логину |
|
Вернуться к началу |
|
|
ALEX_SE Гость
|
Добавлено: Вт Мар 04 2003 14:25 Заголовок сообщения: А что это даст? Админ-то узнает всё-равно...(-) |
|
|
- |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Мар 04 2003 14:36 Заголовок сообщения: А вот что (+) |
|
|
Админ глядит логи, видит несоответствия и идет к директору.
Оба берут по веслу и этим юзверям по заднице, по заднице!!! |
|
Вернуться к началу |
|
|
Valera Гость
|
Добавлено: Ср Мар 05 2003 05:12 Заголовок сообщения: proxy acl по адресу + авторизация, зайти можно будет только c опр.адреса с опр.логином, да и рулить будет проще (-) |
|
|
- |
|
Вернуться к началу |
|
|
DSN
Зарегистрирован: 20.02.2003 Сообщения: 150 Откуда: Moscow
|
Добавлено: Ср Мар 05 2003 11:03 Заголовок сообщения: Про всякие привязки к МАК адресам |
|
|
забудь, я за недельку написал програмку которая клонирует комп в сети с МАК и IP при чем другой комп работает и не ругается.Клон использует только внешний трафик т.е. инет, и поэтому конфликтов почти нет. Определить клон можно только выдергивание кабелей из хабов. По моему есть пару вариантов, Поставить авторизацию на соединение с инетом или маршрутизаторы с настроеными портами на нужные карточки, тогда только кабели придеться передргивать воришкам)) Еще вариант с VPN говорят помогает, но там свои неудобства. PS: я не админ, за консультациями что и как настроить не обращаться, не помогу. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Ср Мар 05 2003 23:39 Заголовок сообщения: Допустим, сволочь меняет одновременно IP-номер и MAC-адрес. Кто заметит подмену? Какое несоответсвие будет в данном случае? (-) |
|
|
- |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Мар 06 2003 10:10 Заголовок сообщения: Все проще (+) |
|
|
Список MAC-адресов имеем? Имеем. Список IP-адресов имеем? Имеем. Скрипт, проверяющий эталон с тем что реально происходит напишем? Напишем. Весло в углу стоит? А как же! )) |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Чт Мар 06 2003 12:04 Заголовок сообщения: Все хорошо за исключением того, что скрипт не сможет отличить эталон от подделки. Или дай хотя бы набросок скрипта (-) |
|
|
- |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Мар 06 2003 19:07 Заголовок сообщения: Я понял куда ты клонишь (+) |
|
|
Ты про то, что при выключенной "правильной машине" мы подделываем все ее сетевые характеристики и пользуем Инет нахаляву?
Я уж тут 100 раз говорил, что пара IP/MAC без авторизации - ничто. Нужна авторизация.
arpwatch позволит выявить наглые нарушения, которые сейчас происходят у товарища, но надо понимать, что это не дает 100% гарантии от подмены.
Раз пошла такая пьянка, то и биометрика не защищает от подделки на 100% )) |
|
Вернуться к началу |
|
|
|