Зарегистрирован: Sun Mar 11 2007, 03:10PM Сообщений: 91
В доменной локальной сети организации появились "чужаки" несанкционированно подключающиеся к сети с IP адресами совпадающими с адресами членов домена (к примеру с адресами 192.168.0.199 и 192.168.0.200), из-за чего у членов домена возникают конфликты адресов. Из-за разветвленности ЛВС организации и нахождения ее в нескольких корпусах выявить место физического подключения затруднительно. При этом при сканировании сети имена компьютеров чужаков определяются как "неизвестные". Вопрос: каким образом можно "изолировать" компьютеры чужаков, по возможности не меняя IP членов домена при этом ликвидировать конфликты адресов. Нет, работы я не люблю. Я предпочитаю бездельничать и мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы - никто ее не любит, - но мне нравится, что она дает нам возможность найти себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что за ней скрывается.
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
Попробуйте в своей подсети установить программу BinaryPlant ARP Monitor. Данное ПО фиксирует и сообщает о вновь появившихся адресах в сети с указанием их МАС. Если злоумышленник изменит IP - это тоже зафиксируется. Далее - имея информацию и MAC адреса можно вычислить "чужаков"
Зарегистрирован: Sun Mar 11 2007, 03:10PM Сообщений: 91
МАС адреса чужаков вычислены сканером, но что это дает? В домене они все равно не прописаны и к шарам домена доступа не имеют их вред заключается лишь в том, что они создают конфликты адресов. Каким образом знание МАС адресов чужаков поможет их изолировать из сети?
[ Изменен Wed Aug 29 2012, 08:59PM ] Нет, работы я не люблю. Я предпочитаю бездельничать и мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы - никто ее не любит, - но мне нравится, что она дает нам возможность найти себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что за ней скрывается.
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
Многие свичи имеют таблицы МАС адресов (например Cisco) по команде -
switch#show mac-address-table | i 000e.8c96.7843 84 000e.8c96.7843 DYNAMIC Fa0/13 switch#
вычисляете порт на котором это сидит - это раз. Указанная выше программа например фиксирует, что кто-то из злоумышлеников вдруг изменил адрес и стал вполне реальным пользователем (кто-то на время менял IP) - это два. Все это позволит найти станцию злоумышленика или просто тупо откючить порт. Кстати порты коммутатора не должны быть просто доступны пользователям (размещайте их в закрытых шкафах).
Зарегистрирован: Sun Mar 11 2007, 03:10PM Сообщений: 91
Увы практически все коммутаторы в организации неуправляемые - дешевые D-Link модели DES отличающиеся только количеством портов. Насколько я понимаю в этом случае ситуация безнадежна?
[ Изменен Fri Aug 31 2012, 04:01PM ] Нет, работы я не люблю. Я предпочитаю бездельничать и мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы - никто ее не любит, - но мне нравится, что она дает нам возможность найти себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что за ней скрывается.
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
ет ну я же писал, по программе Вы вполне отслеживаете изменения адресов, а по имени можно и комп найти. Сложности - когда злоумышленник взял уже занятый IP и адреса стали конфликтовать. А когда он вернется назад - вот тут его и вычисляй.
Зарегистрирован: Sun Mar 11 2007, 03:10PM Сообщений: 91
Если бы все было так просто, не было бы смысла и вопрос задавать. В том, то и дело что "злоумышленник" вошел в сеть уже под занятым IP (как потом выяснилось, кто то из юзверей просто тупо подключил пачкорд к компьютеру не настроенному в домене, но имевшему IP-адрес), а имя компа, если он "левый", как правило ничего не дает (ну например что скажет имя: comp1967 ?). Кстати у указанного в вопросе компьютера программа прочему то определяла имя как "Unknown" :)
[ Изменен Fri Sep 21 2012, 05:38PM ] Нет, работы я не люблю. Я предпочитаю бездельничать и мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы - никто ее не любит, - но мне нравится, что она дает нам возможность найти себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что за ней скрывается.