форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"прявязка ip адреса к mac адресу"	+/–
Сообщение от axa_iwt (ok) on 13-Фев-12, 15:34
Добрый день! Мне дали задачу во всех офисах нашей организации, привязать ip адрес оборудования к его физическому адресу. Это нужно что бы без ведома системного администратора пользователи не подключали к сети своё оборудование(ноутбуки и т.д.) эту задачу я решил следующим образом: arp 192.168.1.10 001b.2183.e878 ARPA arp 192.168.1.20 001a.4dfb.7464 ARPA arp 192.168.1.30 6cf0.49cb.e86c ARPA interface FastEthernet0/0 description *** LocalNET *** ip address 192.168.1.1 255.255.255.0 arp authorized всё отлично работает и не возможно подключить к сети новое оборудование как и планировалось, НО спустя энное время все компы пропадают пока на локальном интерфейсе не отключу арп авторизацию. DO1(config-if)#no arp authorized подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "прявязка ip адреса к mac адресу"	+/–
Сообщение от Square (ok) on 13-Фев-12, 15:49
> всё отлично работает и не возможно подключить к сети новое оборудование как > и планировалось, Вы в курсе что МАС адрес меняется произвольным образом? Человек приходит со своим ноутбуком, выставляет на нем мак+ип рабочего компа- и он в сети. Судя по всему - нет. Ваша защита рухнет как только кто-то из сотрудников(случайных посетителей) вобъет в поисковике фразу "обойти привязку MAC к IP" и прочтет коментарии к такому способу защиты. Судя по тому, что вам такую задачу поставило начальство - оно тоже не интересовалось насколько ЭЛЕМЕНТАРНО рушиться такая защита...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "прявязка ip адреса к mac адресу"	+/–
	Сообщение от axa_iwt (ok) on 14-Фев-12, 09:27
	>> всё отлично работает и не возможно подключить к сети новое оборудование как >> и планировалось, > Вы в курсе что МАС адрес меняется произвольным образом? Человек приходит со > своим ноутбуком, выставляет на нем мак+ип рабочего компа- и он в > сети. > Судя по всему - нет. Ваша защита рухнет как только кто-то из > сотрудников(случайных посетителей) вобъет в поисковике фразу "обойти привязку MAC к IP" > и прочтет коментарии к такому способу защиты. > Судя по тому, что вам такую задачу поставило начальство - оно тоже > не интересовалось насколько ЭЛЕМЕНТАРНО рушиться такая защита... это один из многих способов защиты. Т.к. обычные пользователи мало знакомы с IT это помогает. ну как же всё таки решить проблему с отключением?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "прявязка ip адреса к mac адресу"	+/–
Сообщение от Zl0 (ok) on 13-Фев-12, 17:04
>[оверквотинг удален] > arp 192.168.1.30 6cf0.49cb.e86c ARPA > interface FastEthernet0/0 >  description *** LocalNET *** >  ip address 192.168.1.1 255.255.255.0 >  arp authorized > всё отлично работает и не возможно подключить к сети новое оборудование как > и планировалось, НО спустя энное время все компы пропадают пока на > локальном интерфейсе не отключу арп авторизацию. > DO1(config-if)#no arp authorized > подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала. Два за решение задачи, такую защиту не делают уже лет так эдак 10. Используйте  802.1x или на худой конец VPN.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "прявязка ip адреса к mac адресу"	+/–
	Сообщение от VolanD (ok) on 14-Фев-12, 07:56
	>[оверквотинг удален] >>  description *** LocalNET *** >>  ip address 192.168.1.1 255.255.255.0 >>  arp authorized >> всё отлично работает и не возможно подключить к сети новое оборудование как >> и планировалось, НО спустя энное время все компы пропадают пока на >> локальном интерфейсе не отключу арп авторизацию. >> DO1(config-if)#no arp authorized >> подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала. > Два за решение задачи, такую защиту не делают уже лет так эдак > 10. Используйте  802.1x или на худой конец VPN. А в этом случае пользователь не сможет подключить другой девайс? И ,кстати, нормальноя поддержка дот1х в семействе виндовсов появилась только в Вин7
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "прявязка ip адреса к mac адресу"	+/–
Сообщение от alexmasz (ok) on 13-Фев-12, 21:27
> подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала. может быть static-dhcp + am, binding arp?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "прявязка ip адреса к mac адресу"	+/–
Сообщение от eek on 14-Фев-12, 07:17
> Это нужно что бы без > ведома системного администратора пользователи > не подключали к сети своё оборудование(ноутбуки > и т.д.) Чтобы пользователи не подключали свое оборудование к сети не используемые порты коммутаторов должны быть выключены и на всех аксесовых портах пользователей включить port-security. Чтобы пользователи не менял ip адреса на машинах нужно использовать групповые политики и резервирование ip адресов. Ну и наконец третье. Если сотрудники массово прут на работу железо из дома нужно задуматься почему это происходит, может не ту проблему пытаетесь лечить? Как уже писали коллеги выше 802.1х является решением задачи авторизации. Вот только как правило реальная эксплуатация сводиться к тому, что пароли либо вбиты железно, либо записаны на бумажке которая лежит на столе. Опять же это решения не для меленькой конторы потому что если лежит радиус = сети нет :) Ну и потом неизвестно какой зоопарк железа у вас стоит и есть ли там поддержка 802.1х. Кроме всего прочего развертывание такой системы требует знаний и порядка от самого тех. персонала. Чего в реальных условиях как правило тоже нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "прявязка ip адреса к mac адресу"	+/–
	Сообщение от axa_iwt (ok) on 14-Фев-12, 09:39
	>Кроме всего > прочего развертывание такой системы требует знаний и порядка от самого тех. > персонала. Чего в реальных условиях как правило тоже нет. спасибо всем за советы, учту.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "прявязка ip адреса к mac адресу"	+/–
	Сообщение от Николай_kv on 14-Фев-12, 10:58
	>>Кроме всего >> прочего развертывание такой системы требует знаний и порядка от самого тех. >> персонала. Чего в реальных условиях как правило тоже нет. > спасибо всем за советы, учту. Смотрите с сторону 802.1x
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "прявязка ip адреса к mac адресу"	+/–
Сообщение от Pve1 (ok) on 15-Фев-12, 12:58
Полноценное решение - только 802.1 Если домен-контроллер в офисе есть - то поднять 1 дополнительную роль на нем - не большая проблема. А с вышедшим из троя домен-контроллером в любом случае не сможете. Так же рекомендую почитать про: ip dhcp snooping ip source guard ip arp inspection
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема