форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"Найти и обезвредить"	+/–
Сообщение от ramzes3000 (ok) on 14-Янв-13, 20:02
Здраствуйте. Есть офисная сеть, около 200 пк = управляемые коммутаторы dlink, шлюз - Debian + squid. Некоторые товарищи ставят свои роутеры и раздают по кабинетам инет, что запрещено. Как все это безобразие прекратить? Как найти в сети пиратский шлюз.? Ничего толкового кроме адм. наказания не нашел.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Найти и обезвредить"	+1 +/–
Сообщение от PavelR (ok) on 14-Янв-13, 22:18
> Как все это безобразие прекратить? > Как найти в сети пиратский шлюз.? > Ничего толкового кроме адм. наказания не нашел. Найти, прекратить и наказать - это разные задачи. Найти: - можно по TTL - можно сканировать наборы портов на адресе и ловить их изменение - можно пытаться контролировать число одновременных TCP-сессий Хотя я возможно не так понял, что подразумевается под "ставят свои роутеры". Я пишу в контексте: ставят свое железо и тянут свои провода. Если они ставят маршрутизирующий софт на имеющиеся компьютеры и имеющимся компьютерам "расшаривают" интернет используя "вашу" физику - то надо просто ассимметричные виланы на д-линках настроить, и запретить общаться компьютерам друг с другом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Найти и обезвредить"	+/–
	Сообщение от ramzes3000 (ok) on 14-Янв-13, 23:49
	> Хотя я возможно не так понял, что подразумевается под "ставят свои роутеры". > Я пишу в контексте: ставят свое железо и тянут свои провода. Народ ставит железо - маршрутизаторы, сетевухи, тянут провода..... Основная задача - Как за натом увидеть пиратскую сеть? Софт пока не ставят. Все было вычислено путем личного обхода, но ножки не казенные? Спасибо.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Найти и обезвредить"	+/–
	Сообщение от eek on 15-Янв-13, 07:22
	> Народ ставит железо - маршрутизаторы, сетевухи, тянут провода..... > Основная задача - Как за натом увидеть пиратскую сеть? Думаю можно еще немного подождать и они захватят серверную (или как у вас этот чулан называется где сервер со сквидом стоит) и тогда вы сможете спокойно пойти домой. По теме: У вас проблемы административные не технические. Когда народ вместо своей работы начинает тянуть провода и ставить роутеры, это явно говорит о том, что и админ и их непосредственное начальство не делают свою работу. Равно как и может говорить о том, что пользователи в конец охренели. В любом случае корень проблемы лежит не в технической области. Можно конечно продложить сделать авторизация дополнительную, например привязывать по маку, но учитывая техническую грамотность ваших пользователей это не поможет. Ну и так ради интереса. А как ваш заповедник называется?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Найти и обезвредить"	+/–
	Сообщение от ramzes3000 (ok) on 15-Янв-13, 12:07
	>[оверквотинг удален] > По теме: У вас проблемы административные не технические. Когда народ вместо своей > работы начинает тянуть провода и ставить роутеры, это явно говорит о > том, что и админ и их непосредственное начальство не делают свою > работу. Равно как и может говорить о том, что пользователи в > конец охренели. В любом случае корень проблемы лежит не в технической > области. > Можно конечно продложить сделать авторизация дополнительную, например привязывать по > маку, но учитывая техническую грамотность ваших пользователей это не поможет. > Ну и так ради интереса. > А как ваш заповедник называется? На данный момент привязка по ip + mac, планирую включить ip-mac-port binding, может + по логину, паролю. Хотелось как то проще/технически решить проблему = ограничить кол-во мак на порту и/или др., но в длинке говорят, что железо этого не умеет. Это не заповедник, а стадо баранов.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Найти и обезвредить"	+1 +/–
	Сообщение от fantom (??) on 15-Янв-13, 12:16
	>[оверквотинг удален] >> области. >> Можно конечно продложить сделать авторизация дополнительную, например привязывать по >> маку, но учитывая техническую грамотность ваших пользователей это не поможет. >> Ну и так ради интереса. >> А как ваш заповедник называется? > На данный момент привязка по ip + mac, планирую включить ip-mac-port binding, > может + по логину, паролю. Хотелось как то проще/технически решить проблему > = ограничить кол-во мак на порту и/или др., но в длинке > говорят, что железо этого не умеет. > Это не заповедник, а стадо баранов. 802.1X (даааалеко не каждый рутер оный умеет) + все исключительно через squid с авторизацией + ограничение количества tcp сессий на один IP до разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать) и раздача инета через рутер станет "нерентабельной", тем, кто сможет все правильно настроить и обойти - приглашение на работу сисадмином на ваше место :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Найти и обезвредить"	+/–
	Сообщение от Andrey (??) on 15-Янв-13, 14:27
	>[оверквотинг удален] >> области. >> Можно конечно продложить сделать авторизация дополнительную, например привязывать по >> маку, но учитывая техническую грамотность ваших пользователей это не поможет. >> Ну и так ради интереса. >> А как ваш заповедник называется? > На данный момент привязка по ip + mac, планирую включить ip-mac-port binding, > может + по логину, паролю. Хотелось как то проще/технически решить проблему > = ограничить кол-во мак на порту и/или др., но в длинке > говорят, что железо этого не умеет. > Это не заповедник, а стадо баранов. Чего только не делают некоторые администраторы чтобы только не общаться с пользователями и с собственными руководителями. Пробема не решается только техническими средствами.   Представте себе что кто-то в офисе готовит шашлык на мангале. Приходит пожарный инспектор и отбирает спички. Мангал, дрова, жидкость для розжига, шашлыки, выписывание штрафов, закрытие офиса и прочее пожарного инспектора не интересуют. Текущая ситуация аналогична. Стаду баранов нужен пастух и овчарки которые будут стадо охранять. Если этого нет - волки вырежут стадо в считанные минуты. Решайте кто вы в данном случае - такое существо входящее в состав стада или пастух, который с этого стада имеет иногда хороший наваристый суп и вкусный шашлык.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Найти и обезвредить"	+/–
	Сообщение от ramzes3000 (ok) on 15-Янв-13, 18:22
	>[оверквотинг удален] > и с собственными руководителями. Пробема не решается только техническими средствами. > Представте себе что кто-то в офисе готовит шашлык на мангале. Приходит пожарный > инспектор и отбирает спички. Мангал, дрова, жидкость для розжига, шашлыки, выписывание > штрафов, закрытие офиса и прочее пожарного инспектора не интересуют. Текущая ситуация > аналогична. > Стаду баранов нужен пастух и овчарки которые будут стадо охранять. Если этого > нет - волки вырежут стадо в считанные минуты. Решайте кто вы > в данном случае - такое существо входящее в состав стада или > пастух, который с этого стада имеет иногда хороший наваристый суп и > вкусный шашлык. Эт понятно - внедрять комплекс мероприятий = пастухи, овчарки, щуки, окуни..... обрезка лишнего кабеля, увольнение... Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда успеем, шашкой махать дело не хитрое.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Найти и обезвредить"	+/–
	Сообщение от mrak (??) on 16-Янв-13, 11:42
	> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда > успеем, шашкой махать дело не хитрое. можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Найти и обезвредить"	+/–
	Сообщение от fantom (??) on 16-Янв-13, 11:49
	>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда >> успеем, шашкой махать дело не хитрое. > можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :( и как вы MAC-и за IP роутерами отслеживать собираетесь?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Найти и обезвредить"	+1 +/–
	Сообщение от fantom (??) on 16-Янв-13, 11:55
	>>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда >>> успеем, шашкой махать дело не хитрое. >> можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :( > и как вы MAC-и за IP роутерами отслеживать собираетесь? Повторюсь: 802.1X (даааалеко не каждый рутер оный умеет) + все исключительно через squid с авторизацией + ограничение количества tcp сессий на один IP до разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать) и раздача инета через рутер станет "нерентабельной", ибо 1. Надо найти рутер с поддержкой 802.1x 2. все равно squid попросит логин/пароль 3. Даже втроем на 10 сессий - это поодной страничке открыть да скайп запустить и усе... да они сами умельца с роутером изнасилуют. 4. естественно, на все жалобы что работает хреново в первую очередь проверять на наличие роутера и реагировать административно. И тут правильно писали - без админ мер все технические средства бесполезны, ибо безнаказанность ничего хорошего не порождает.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Найти и обезвредить"	+/–
	Сообщение от ramzes3000 (ok) on 16-Янв-13, 15:33
	>[оверквотинг удален] > разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать) > и раздача инета через рутер станет "нерентабельной", ибо > 1. Надо найти рутер с поддержкой 802.1x > 2. все равно squid попросит логин/пароль > 3. Даже втроем на 10 сессий - это поодной страничке открыть да > скайп запустить и усе... да они сами умельца с роутером изнасилуют. > 4. естественно, на все жалобы что работает хреново в первую очередь проверять > на наличие роутера и реагировать административно. > И тут правильно писали - без админ мер все технические средства бесполезны, > ибо безнаказанность ничего хорошего не порождает. Всем спасибо, будем работать.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Найти и обезвредить"	+/–
	Сообщение от fantom (??) on 16-Янв-13, 15:45
	>[оверквотинг удален] >> 2. все равно squid попросит логин/пароль >> 3. Даже втроем на 10 сессий - это поодной страничке открыть да >> скайп запустить и усе... да они сами умельца с роутером изнасилуют. >> 4. естественно, на все жалобы что работает хреново в первую очередь проверять >> на наличие роутера и реагировать административно. >> И тут правильно писали - без админ мер все технические средства бесполезны, >> ибо безнаказанность ничего хорошего не порождает. > Всем спасибо, будем работать. > кстати maxconn даже в 20-25 рубит на 1-2 вкладке. Спрошу в другой > ветке. Спасибо. А вы не тутайте параметры сквида с количеством tcp сессий :)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Найти и обезвредить"	+/–
	Сообщение от mrak (??) on 16-Янв-13, 16:37
	>>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда >>> успеем, шашкой махать дело не хитрое. >> можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :( > и как вы MAC-и за IP роутерами отслеживать собираетесь? Не за роутерами, а роутеров. При стандартной настроойке роутера, будет светиться его MAC адрес, а не адрес ПК, если мы знаем все свои МАСи то чужие можно блокировать. Единственный недостаток - МАС роутера, можно заменить на МАС легалного ПК :(
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Найти и обезвредить"	+/–
Сообщение от pavlinux (ok) on 16-Янв-13, 20:29
> Здраствуйте. > Есть офисная сеть, около 200 пк = управляемые коммутаторы dlink, шлюз - > Debian + squid. > Некоторые товарищи ставят свои роутеры и раздают по кабинетам инет, что запрещено. > Как все это безобразие прекратить? Как найти в сети пиратский шлюз.? Ничего > толкового кроме адм. наказания не нашел. 1. Авторизацию через LDAP по IPSec и всем USB свистки c ключами. 2. Использовать в сети только свои свичи/роутеры.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Найти и обезвредить"	+/–
	Сообщение от Seva (??) on 16-Янв-13, 20:48
	Выявить нелегальную точку с помощью сканера по уровню сигнала и "настучать по голове"(если пользователь знает и нарушает рассмотреть на партийном собрании целесообразность доступа к сети в том числе и интернет) А вообще хороша технология cisco rogue detection но такой сети её уже не внедрить:-) Да и что бы юзеры были довольны и не мучались проверить вашу сетку на предмет готовности к BYOD :-) именно поэтому они тащат в офис железяки и чувствуют себя кул хацкерами ))) Гарантирую что у вас никто ни за что не отвечает, порты не закрываются и находятся в свободном доступе а Одмин мальчик для битья и будет крайним в случае чего )) А вообще хороший повод поднять вопрос перед руководством и приступить к модернизации сети )))
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема