LINUX.ORG.RU
ФорумAdmin

Непрерывное отслеживание соответствия IP адресов MAC адресам


0

0

Все старО как мир: юзеры локалки ходят в И-нет через Linux-сервер и единственный твердый IP-адрес.

Для исключения несанкционированного использования IP-адресов локалки обычно применяется привязка адресов к МАС-адресам в утилите iptables и в настройках Squid.

Однако по некоторым соображениям мне не целесообразно делать в локалке такую жесткую привязку. Тем не менее контроль должен быть.

Хочу сделать вот что.
1. Создать файл с таблицей соответствия
<IP> <MAC>
2. Запустить cron, чтобы он раз в минуту проверял правильность соответствия IP-MAC в сети с использованием файла п.1. и утилиты arm
3. Если выявляется несоответствие, то cron должен слать мне, админу, сообщение по e-mail примерно с таким содержанием:
Адрес <MAC> заменил свой <IP> на чужой <IP>

Если эту подмену сделаю я сам или мой помощник, то ничего страшного - e-mail можно удалить.
Но если злоумышленник пытается скачать большой траффик, подставляя другого юзера в локалке, то мы сразу находим врага в своем отечестве.

А вопрос, собственно один: может уже есть готовое решение? Может кто уже написал подходящую для cron систему команд bash?

1. arpwatch
2. поставь управляемый свитч и храни в нем статическую таблицу arp
(если денег не жалко)

anonymous
()

странная схема. а если пользователь изменил мак адресс и айпи и они
полностью соотвествуют нужным?

кстати делается это парой команд.

anonymous
()
Ответ на: комментарий от anonymous

Дело в том, что изменить MAC-адрес все же несколько сложнее, нежели тривиальное изменение IP.

P.S. Дело в том, что раньше в нашей организации были сплошные компьютерные чайники - им не то, что IP поменять, а файл на дискету скопировать трудно было.
Однако с недавних пор появилась небольшая команда людей, которые по моим данным могут поменять IP, а вот MAC-адрес вряд ли.

>Готовое решение - VPN Больше ничего не поможет

Хочется начать с малого... Или советуете сразу все по-серьезному?

mkudritsky
() автор топика
Ответ на: комментарий от mkudritsky

>Однако с недавних пор появилась небольшая команда людей, которые по моим данным могут поменять IP, а вот MAC-адрес вряд ли.

Трудно что-то посоветовать, если организация небольшая, то можно попробовать контролировать связку MAC/IP и сильно давать по ушам административными мерами. Но на самом деле они быстро прочухают, что можно сменить и MAC. Так что самый ненадежный способ.
Либо VPN, но тут наталкиваешься на милых девышек, которые свой логин, пароль пристикивают на монитор что бы не забыть, но если сюда добавить еще и контроль MAC/IP, то поймать "умника" можно - где-то но забудет что-то сменить.
Если есть возможность, то ставить управляемые свичи с привязкой по портам - тады они уже ничего не сделают - и это я думаю самый лучший метод если есть финансовая возможность.

anonymous
()
Ответ на: комментарий от Deleted

А вообще физические меры не интересны - надо админить так чтоб не обломать админов было ни как - так интереснее ИМХО. :)

The_Ketchup ★★
()

достаточтно составить arp таблицу на linux-маршрутизаторе

arp -s 192.168.1.2 00:11:22:33:44:55

и если меняется ip, то выхода в инет не будет, а вообще надо бы на локальных машинах права у пользователей отбирать :)

x97Rang ★★★
()
Ответ на: комментарий от qwe

PPPoE умеет через маршрутизатор пролезать?

anonymous
()
Ответ на: комментарий от Deleted

> Я боролся рейдами. Периодически подходил к самым умным и смотрел IP через ipconfig. Помогло.

Для как всегда самых умных админов мы в своей компании написали специальную версию ipconfig.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin