forum.opennet.ru - "Как можно установить защиту от подмены IP адреса" (17)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Как можно установить защиту от подмены IP адреса"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Как можно установить защиту от подмены IP адреса"
Сообщение от darckly on 02-Окт-02, 17:46 (MSK)
Как можно не допустить подмену IP адреса на чужой машине? Раньше эта проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через arp -s, но теперь встретился с фактом, что можно на некоторых картах прямо в их настройках вручную изменять мас. Можно ли как-либо ещё что-то сделать, чтобы избежать такого проникновения?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Как можно установить защиту от подмены IP адреса, J, 10:54 , 03-Окт-02, (1)
- RE: Как можно установить защиту от подмены IP адреса, uldus, 12:34 , 03-Окт-02, (2)
  - RE: Как можно установить защиту от подмены IP адреса, Romanych, 17:16 , 06-Окт-02, (3)
    - RE: Как можно установить защиту от подмены IP адреса, J, 17:41 , 07-Окт-02, (4)
      - RE: Как можно установить защиту от подмены IP адреса, yur, 05:12 , 09-Окт-02, (5)
    - RE: Как можно установить защиту от подмены IP адреса, bass, 05:32 , 09-Окт-02, (6)
      - RE: Как можно установить защиту от подмены IP адреса, Romanych, 13:02 , 09-Окт-02, (7)
        
        RE: Как можно установить защиту от подмены IP адреса, yur, 04:10 , 10-Окт-02, (9)
      - RE: Как можно установить защиту от подмены IP адреса, yur, 04:07 , 10-Окт-02, (8)
RE: Как можно установить защиту от подмены IP адреса, LionSoftware, 18:38 , 17-Окт-02, (10)
- RE: Как можно установить защиту от подмены IP адреса, mega, 11:32 , 28-Окт-02, (11)
  - RE: Как можно установить защиту от подмены IP адреса, Volume, 22:05 , 08-Ноя-02, (12)
    - RE: Как можно установить защиту от подмены IP адреса, Sib, 11:50 , 06-Июн-03, (13)
      - RE: Как можно установить защиту от подмены IP адреса, Oktopus, 23:47 , 12-Июн-03, (14)
        
        RE: Как можно установить защиту от подмены IP адреса, LS, 22:19 , 13-Июн-03, (15)
        
        RE: Как можно установить защиту от подмены IP адреса, trdmitry, 09:29 , 14-Июн-03, (16)
Как можно установить защиту от подмены IP адреса, dmb, 14:30 , 17-Июн-03, (17)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от J on 03-Окт-02, 10:54  (MSK)

>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
настроить аутинтификацию чреез pptoe в случае ethernet и на основе логина-пароля выдавать правильный ip

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от uldus on 03-Окт-02, 12:34  (MSK)

>настроить аутинтификацию чреез pptoe в случае ethernet и на основе логина-пароля выдавать
>правильный ip
Еще можно блокировку левых MAC на клиентской дырке свича устроить.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от Romanych on 06-Окт-02, 17:16  (MSK)

А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к MAC (все время MACи меняются,ноутбуки)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от J on 07-Окт-02, 17:41  (MSK)

>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>MAC (все время MACи меняются,ноутбуки)

тогда это будет уже не свитч - роутер, ибо ip-адреса должны разбираться на 3 уровне модели OSI

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от yur on 09-Окт-02, 05:12  (MSK)

>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>
>
>тогда это будет уже не свитч - роутер, ибо ip-адреса должны разбираться
>на 3 уровне модели OSI
Не совсем так...
Catalyst 2950 цискин вроде как умеет ip access-lists на ethernetах:)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от bass on 09-Окт-02, 05:32  (MSK)

>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>MAC (все время MACи меняются,ноутбуки)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что в конкретном влане будет только определённые пары IP-MAC.
Интересно что мешает им менять такие пары?
Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия VPN (логин-пароль) нету.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от Romanych on 09-Окт-02, 13:02  (MSK)

>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их
>обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН
>и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что
>в конкретном влане будет только определённые пары IP-MAC.
>Интересно что мешает им менять такие пары?
>У >Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия
>VPN (логин-пароль) нету.

У меня есть 2900XL-LRE с самым простым софтом. Напишите,кто знает
как ip access-lists на Longreachethernet. Я пробовал но чего-то не получилось.
И кстати... Плохой пример на SMC TigerSwitch L3,т.к теряем ip адреса
конфигурим порт 1
192.168.1.1/30
по логике и на практике в этот порт могут проходить только 2 ip 192.168.1.2-3,(шлюз у них соответственно 192.168.1.1)один из них запрещаем.
Так работает и без MAC=IP, но помоему это все-равно голяк.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от yur on 10-Окт-02, 04:10  (MSK)

>У меня есть 2900XL-LRE с самым простым софтом. Напишите,кто знает
>как ip access-lists на Longreachethernet. Я пробовал но чего-то не получилось.
На 2900XL-LRE по-моему никак:(
Если я не ошибаюсь, там нет такой возможности.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от yur on 10-Окт-02, 04:07  (MSK)

>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC?
>>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к
>>MAC (все время MACи меняются,ноутбуки)
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их
>обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН
>и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что
>в конкретном влане будет только определённые пары IP-MAC.
>Интересно что мешает им менять такие пары?
Если случай такой: порт=N * IP-адрес, где N=1, то правильно раелизованный фильтр на L2-свитче просто не пропустит пакет c некорректным IP. В отличии от L3-девайса его не заботят такие мелочи, как mac<>IP - при фильтрации используются только смещения в пакете.
DOS, конечно, устроить можно все равно, но от многих проблем избавляет...
>
>Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия
>VPN (логин-пароль) нету.
Защита от подмены пары IP-mac есть вещь по сути своей бессмысленная. VPN защищает от подмены таки юзера, знающего логин и пароль, а не IP или mac. Есть ище задачи привязки адреса к конкретной точке, типа "10.0.0.1 в сортире третьего этажа, 2-я кабинка от окна". И не очень интересует, кто в этой кабинке сидит:)

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от LionSoftware on 17-Окт-02, 18:38  (MSK)

>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
Почитай следующее: http://www.securitylab.ru/?ID=33493
Хотя мое мнение, что лучше всего организовывать PPPoE, тогда будет *ГАРАТНИРОВАННО*, что никто "левый" твой трафик не скушает. :)
____
Lion

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от mega on 28-Окт-02, 11:32  (MSK)

>Хотя мое мнение, что лучше всего организовывать PPPoE, тогда будет *ГАРАТНИРОВАННО*, что
>никто "левый" твой трафик не скушает. :)
а разве при PPPoE идет шифрование трафика?

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от Volume on 08-Ноя-02, 22:05  (MSK)

на 3550 и 2950 можно использовать ACL, даже в L2 варианте
есть еще решение. Private VLAN (protected port). Читаем www.cisco.com

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от Sib on 06-Июн-03, 11:50  (MSK)

>на 3550 и 2950 можно использовать ACL, даже в L2 варианте
>есть еще решение. Private VLAN (protected port). Читаем www.cisco.com
А вот такой вопрос. А если клиент заплатил зе месяц работы (городская сеть)  абонплату. И как его через месяц отключить? и какими средставми.

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от Oktopus on 12-Июн-03, 23:47  (MSK)

>>на 3550 и 2950 можно использовать ACL, даже в L2 варианте
>>есть еще решение. Private VLAN (protected port). Читаем www.cisco.com
>
>А вот такой вопрос. А если клиент заплатил зе месяц работы (городская
>сеть)  абонплату. И как его через месяц отключить? и какими
>средставми.
пример - билинг считает статистику и после обнуления счета лезет на
клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
клиент отрубается тк мас не его. и все

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от LS on 13-Июн-03, 22:19  (MSK)

>клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
>клиент отрубается тк мас не его. и все
ну скока можно? - ИП и МАК НЕ МОГУТ однозначно определить клиента (кроме определенных случаев), поскольку и то и другое меняется в течении нескольких секунд со стороны клиента совершенно свободно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: Как можно установить защиту от подмены IP адреса"

Сообщение от trdmitry on 14-Июн-03, 09:29  (MSK)

>>клиентский роутер и перепрописывает в ARP таблице mac клиента на левый
>>клиент отрубается тк мас не его. и все
>
>ну скока можно? - ИП и МАК НЕ МОГУТ однозначно определить клиента
>(кроме определенных случаев), поскольку и то и другое меняется в течении
>нескольких секунд со стороны клиента совершенно свободно.

А никто не задумывался что можно сделат IPsec и раздавать
сертификаты только определенным юзерам.
Или например написать небольшой демон,
чтобы висел и каждые 10 секунд "пинговал" сервер пакетами авторизации.
И если сервер не получил этого пакета несколько раз то firewallом
запретить доступ с ip адреса.

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Как можно установить защиту от подмены IP адреса"

Сообщение от dmb on 17-Июн-03, 14:30  (MSK)

>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять мас. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
Проблема решается либо с помощью VPN либо VLAN. С VPN думаю объяснять не нужно с VLAN делается так:
Каждый клиент подключается к отдельному порту свитча. Каждый порт привязывается к одному VLANу. На одном из портов свитча поднимается VLAN Trunk (ISL или 802.1Q). Этот транк втыкается в порт маршрутизатора на котором нужно сделать примерно следующее
!
access-list 1 permit 192.168.11.5
access-list 2 permit 192.168.12.5
!
interface FastEthernet8/1/0
no ip address
no ip directed-broadcast
no ip route-cache distributed
no ip mroute-cache
!
interface FastEthernet8/1/0.101
encapsulation isl 101
ip address 192.168.11.6 255.255.255.252
ip access-group 1 in
ip access-group 99 out
!
interface FastEthernet8/1/0.201
encapsulation isl 201
ip address 192.168.12.6 255.255.255.252
ip access-group 2 in
ip access-group 99 out
Где .101 и тд. номер VLANа (на указанные в примере цифры не обращайте внимание, делайте как вам удобно).
Таким образом вы не только защититесь от подмены IP адреса и прослушивания пользователями друг друга, но и получите гибкий механизм управления передачей трафика при помощи списков доступа.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от J on 03-Окт-02, 10:54 (MSK)
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта >проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через >arp -s, но теперь встретился с фактом, что можно на некоторых >картах прямо в их настройках вручную изменять мас. Можно ли как-либо >ещё что-то сделать, чтобы избежать такого проникновения? настроить аутинтификацию чреез pptoe в случае ethernet и на основе логина-пароля выдавать правильный ip
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от uldus on 03-Окт-02, 12:34 (MSK)
	>настроить аутинтификацию чреез pptoe в случае ethernet и на основе логина-пароля выдавать >правильный ip Еще можно блокировку левых MAC на клиентской дырке свича устроить.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от Romanych on 06-Окт-02, 17:16 (MSK)
	А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC? Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к MAC (все время MACи меняются,ноутбуки)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от J on 07-Окт-02, 17:41 (MSK)
	>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC? >Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к >MAC (все время MACи меняются,ноутбуки) тогда это будет уже не свитч - роутер, ибо ip-адреса должны разбираться на 3 уровне модели OSI
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от yur on 09-Окт-02, 05:12 (MSK)
	>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC? >>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к >>MAC (все время MACи меняются,ноутбуки) > > >тогда это будет уже не свитч - роутер, ибо ip-адреса должны разбираться >на 3 уровне модели OSI Не совсем так... Catalyst 2950 цискин вроде как умеет ip access-lists на ethernetах:)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от bass on 09-Окт-02, 05:32 (MSK)
	>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC? >Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к >MAC (все время MACи меняются,ноутбуки) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что в конкретном влане будет только определённые пары IP-MAC. Интересно что мешает им менять такие пары? Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия VPN (логин-пароль) нету.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от Romanych on 09-Окт-02, 13:02 (MSK)
	>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC? >>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к >>MAC (все время MACи меняются,ноутбуки) >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их >обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН >и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что >в конкретном влане будет только определённые пары IP-MAC. >Интересно что мешает им менять такие пары? >У >Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия >VPN (логин-пароль) нету. У меня есть 2900XL-LRE с самым простым софтом. Напишите,кто знает как ip access-lists на Longreachethernet. Я пробовал но чего-то не получилось. И кстати... Плохой пример на SMC TigerSwitch L3,т.к теряем ip адреса конфигурим порт 1 192.168.1.1/30 по логике и на практике в этот порт могут проходить только 2 ip 192.168.1.2-3,(шлюз у них соответственно 192.168.1.1)один из них запрещаем. Так работает и без MAC=IP, но помоему это все-равно голяк.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от yur on 10-Окт-02, 04:10 (MSK)
	>У меня есть 2900XL-LRE с самым простым софтом. Напишите,кто знает >как ip access-lists на Longreachethernet. Я пробовал но чего-то не получилось. На 2900XL-LRE по-моему никак:( Если я не ошибаюсь, там нет такой возможности.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от yur on 10-Окт-02, 04:07 (MSK)
	>>А кто-нибудь встречал свитчи с возможностью фильтрации порт=ip а не порт=MAC? >>Клиентская сторона категорически против логин-пароль и совсем не устраивает жесткая привязка к >>MAC (все время MACи меняются,ноутбуки) >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >а почему фильтрация порт=ip по вашему лучше, чем порт=MAC? хорошо давайте их >обьединим: на коммутатор 4-го уровня на каждом линке организовывается свой ВЛАН >и прописывается разрешаемые MAC-и. На роуетере пишется правила о том, что >в конкретном влане будет только определённые пары IP-MAC. >Интересно что мешает им менять такие пары? Если случай такой: порт=N * IP-адрес, где N=1, то правильно раелизованный фильтр на L2-свитче просто не пропустит пакет c некорректным IP. В отличии от L3-девайса его не заботят такие мелочи, как mac<>IP - при фильтрации используются только смещения в пакете. DOS, конечно, устроить можно все равно, но от многих проблем избавляет... > >Тема защиты подмены IP-MAC обсуждалась уже не раз, и выхода кроме поднятия >VPN (логин-пароль) нету. Защита от подмены пары IP-mac есть вещь по сути своей бессмысленная. VPN защищает от подмены таки юзера, знающего логин и пароль, а не IP или mac. Есть ище задачи привязки адреса к конкретной точке, типа "10.0.0.1 в сортире третьего этажа, 2-я кабинка от окна". И не очень интересует, кто в этой кабинке сидит:)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

10. "RE: Как можно установить защиту от подмены IP адреса"
Сообщение от LionSoftware on 17-Окт-02, 18:38 (MSK)
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта >проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через >arp -s, но теперь встретился с фактом, что можно на некоторых >картах прямо в их настройках вручную изменять мас. Можно ли как-либо >ещё что-то сделать, чтобы избежать такого проникновения? Почитай следующее: http://www.securitylab.ru/?ID=33493 Хотя мое мнение, что лучше всего организовывать PPPoE, тогда будет ГАРАТНИРОВАННО, что никто "левый" твой трафик не скушает. :) ____ Lion
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от mega on 28-Окт-02, 11:32 (MSK)
	>Хотя мое мнение, что лучше всего организовывать PPPoE, тогда будет ГАРАТНИРОВАННО, что >никто "левый" твой трафик не скушает. :) а разве при PPPoE идет шифрование трафика?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от Volume on 08-Ноя-02, 22:05 (MSK)
	на 3550 и 2950 можно использовать ACL, даже в L2 варианте есть еще решение. Private VLAN (protected port). Читаем www.cisco.com
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от Sib on 06-Июн-03, 11:50 (MSK)
	>на 3550 и 2950 можно использовать ACL, даже в L2 варианте >есть еще решение. Private VLAN (protected port). Читаем www.cisco.com А вот такой вопрос. А если клиент заплатил зе месяц работы (городская сеть) абонплату. И как его через месяц отключить? и какими средставми.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от Oktopus on 12-Июн-03, 23:47 (MSK)
	>>на 3550 и 2950 можно использовать ACL, даже в L2 варианте >>есть еще решение. Private VLAN (protected port). Читаем www.cisco.com > >А вот такой вопрос. А если клиент заплатил зе месяц работы (городская >сеть) абонплату. И как его через месяц отключить? и какими >средставми. пример - билинг считает статистику и после обнуления счета лезет на клиентский роутер и перепрописывает в ARP таблице mac клиента на левый клиент отрубается тк мас не его. и все
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от LS on 13-Июн-03, 22:19 (MSK)
	>клиентский роутер и перепрописывает в ARP таблице mac клиента на левый >клиент отрубается тк мас не его. и все ну скока можно? - ИП и МАК НЕ МОГУТ однозначно определить клиента (кроме определенных случаев), поскольку и то и другое меняется в течении нескольких секунд со стороны клиента совершенно свободно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "RE: Как можно установить защиту от подмены IP адреса"
	Сообщение от trdmitry on 14-Июн-03, 09:29 (MSK)
	>>клиентский роутер и перепрописывает в ARP таблице mac клиента на левый >>клиент отрубается тк мас не его. и все > >ну скока можно? - ИП и МАК НЕ МОГУТ однозначно определить клиента >(кроме определенных случаев), поскольку и то и другое меняется в течении >нескольких секунд со стороны клиента совершенно свободно. А никто не задумывался что можно сделат IPsec и раздавать сертификаты только определенным юзерам. Или например написать небольшой демон, чтобы висел и каждые 10 секунд "пинговал" сервер пакетами авторизации. И если сервер не получил этого пакета несколько раз то firewallом запретить доступ с ip адреса.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

17. "Как можно установить защиту от подмены IP адреса"
Сообщение от dmb on 17-Июн-03, 14:30 (MSK)
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта >проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через >arp -s, но теперь встретился с фактом, что можно на некоторых >картах прямо в их настройках вручную изменять мас. Можно ли как-либо >ещё что-то сделать, чтобы избежать такого проникновения? >Как можно не допустить подмену IP адреса на чужой машине? Раньше эта >проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через >arp -s, но теперь встретился с фактом, что можно на некоторых >картах прямо в их настройках вручную изменять мас. Можно ли как-либо >ещё что-то сделать, чтобы избежать такого проникновения? Проблема решается либо с помощью VPN либо VLAN. С VPN думаю объяснять не нужно с VLAN делается так: Каждый клиент подключается к отдельному порту свитча. Каждый порт привязывается к одному VLANу. На одном из портов свитча поднимается VLAN Trunk (ISL или 802.1Q). Этот транк втыкается в порт маршрутизатора на котором нужно сделать примерно следующее ! access-list 1 permit 192.168.11.5 access-list 2 permit 192.168.12.5 ! interface FastEthernet8/1/0 no ip address no ip directed-broadcast no ip route-cache distributed no ip mroute-cache ! interface FastEthernet8/1/0.101 encapsulation isl 101 ip address 192.168.11.6 255.255.255.252 ip access-group 1 in ip access-group 99 out ! interface FastEthernet8/1/0.201 encapsulation isl 201 ip address 192.168.12.6 255.255.255.252 ip access-group 2 in ip access-group 99 out Где .101 и тд. номер VLANа (на указанные в примере цифры не обращайте внимание, делайте как вам удобно). Таким образом вы не только защититесь от подмены IP адреса и прослушивания пользователями друг друга, но и получите гибкий механизм управления передачей трафика при помощи списков доступа.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх