В доменной локальной сети организации появились "чужаки" несанкционированно подключающиеся к сети с IP адресами совпадающими с адресами членов домена (к примеру с адресами 192.168.0.199 и 192.168.0.200), из-за чего у членов домена возникают конфликты адресов. Из-за разветвленности ЛВС организации и нахождения ее в нескольких корпусах выявить место физического подключения затруднительно. При этом при сканировании сети имена компьютеров чужаков определяются как "неизвестные". Вопрос: каким образом можно "изолировать" компьютеры чужаков, по возможности не меняя IP членов домена при этом ликвидировать конфликты адресов.
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
Попробуйте в своей подсети установить программу BinaryPlant ARP Monitor. Данное ПО фиксирует и сообщает о вновь появившихся адресах в сети с указанием их МАС. Если злоумышленник изменит IP - это тоже зафиксируется. Далее - имея информацию и MAC адреса можно вычислить "чужаков"
МАС адреса чужаков вычислены сканером, но что это дает? В домене они все равно не прописаны и к шарам домена доступа не имеют их вред заключается лишь в том, что они создают конфликты адресов. Каким образом знание МАС адресов чужаков поможет их изолировать из сети?
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
Многие свичи имеют таблицы МАС адресов (например Cisco) по команде -
switch#show mac-address-table | i 000e.8c96.7843 84 000e.8c96.7843 DYNAMIC Fa0/13 switch#
вычисляете порт на котором это сидит - это раз. Указанная выше программа например фиксирует, что кто-то из злоумышлеников вдруг изменил адрес и стал вполне реальным пользователем (кто-то на время менял IP) - это два. Все это позволит найти станцию злоумышленика или просто тупо откючить порт. Кстати порты коммутатора не должны быть просто доступны пользователям (размещайте их в закрытых шкафах).
Увы практически все коммутаторы в организации неуправляемые - дешевые D-Link модели DES отличающиеся только количеством портов. Насколько я понимаю в этом случае ситуация безнадежна?
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
ет ну я же писал, по программе Вы вполне отслеживаете изменения адресов, а по имени можно и комп найти. Сложности - когда злоумышленник взял уже занятый IP и адреса стали конфликтовать. А когда он вернется назад - вот тут его и вычисляй.
Если бы все было так просто, не было бы смысла и вопрос задавать. В том, то и дело что "злоумышленник" вошел в сеть уже под занятым IP (как потом выяснилось, кто то из юзверей просто тупо подключил пачкорд к компьютеру не настроенному в домене, но имевшему IP-адрес), а имя компа, если он "левый", как правило ничего не дает (ну например что скажет имя: comp1967 ?). Кстати у указанного в вопросе компьютера программа прочему то определяла имя как "Unknown" :)