Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Jak skutecznie zablokować wpinanie się do sieci.

mariuszg 02 Lis 2007 12:39 1709 9
  • #1 02 Lis 2007 12:39
    mariuszg
    Poziom 12  

    Witam

    Mam następujący problem. Mam powiedzmy 40 komputerów w sieci. Logowanie do domeny (Windows), serwerek (brama) na linuksie do internetu.

    Jak uniknąć systuacji żeby mi się nie włączali w tą sieć. Odpinają firmowe komputery, podłączają swojego laptopa (domowego) zmieniają IP (na komputer który odłączyli) , DNS swoje i już jadą (zapychają łącze na max).

    Pozwiązanie IP z MAC to za mało (może połowa by odpadła tych włączających się)

    Fajnym rozwiązaniem było by żeby mogli mieć dostęp do neta tylko Ci zalogowani do domeny. Tylko jak to zrobić, lub inny sposób znaleźć.

    Pozdrawiam i z góry dzięki za odpowiedzi.

    0 9
  • #2 02 Lis 2007 13:38
    Lilith_100
    Poziom 25  

    No ciężko, możesz przylutować kabel na stałe w sieciówce :P
    Bo to chyba jedyne wyjście żeby im to uniemożliwić, ale też nie do końca bo jak masz gniazdka to zaczną przynosić patchkordy i i tak się będą wpinać :)
    Na dzień dzisiejszy pozostaje chyba tylko kontrola MAC na bramie.

    0
  • #3 02 Lis 2007 13:57
    trocse
    VIP Zasłużony dla elektroda

    Skoro linuksik to zajmij sie sterowaniem pasmem i iloscia polaczen, to najlepsze wyjscie. Kontrole MAC itd sa do obejscia przez nastolatka nawet. Dodatkowo blokowanie uslug na linuxie, co ograniczy np sciaganie p2p itd.

    0
  • #4 02 Lis 2007 14:02
    mariuszg
    Poziom 12  

    Lilith_100 napisał:
    No ciężko, możesz przylutować kabel na stałe w sieciówce :P
    Bo to chyba jedyne wyjście żeby im to uniemożliwić, ale też nie do końca bo jak masz gniazdka to zaczną przynosić patchkordy i i tak się będą wpinać :)
    Na dzień dzisiejszy pozostaje chyba tylko kontrola MAC na bramie.


    Nie chodzi mi o sam fakt wyjęcie i podpięcia wtyczki (bo to nie ma znaczenia) tylko o konsekwencje tego (zapychanie łącza), a potem idziesz patrzysz - no rzeczywiście, na firmowym nic nie ściągali.

    Chodzi mi tylko o to żeby jak się nie zalogują do domeny (najlepiej by było) lub jakiś inny sposób to nie mają neta i tyle.

    Kontrola MAC to tak jak by nie mieć wcale (jedynie pani krótko przed emeryturą nie będzie potrafiła sobie z tym poradzić i to nie każda) ;)

    Dodano po 4 [minuty]:

    trocse napisał:
    Skoro linuksik to zajmij sie sterowaniem pasmem i iloscia polaczen, to najlepsze wyjscie. Kontrole MAC itd sa do obejscia przez nastolatka nawet. Dodatkowo blokowanie uslug na linuxie, co ograniczy np sciaganie p2p itd.


    Sterowanie pasmem mam zrobione, nie chodzi tu o ograniczenie (nie zawsze spełniające swoje zadanie) tylko o sam fakt , żeby sobie klient nie myslal ze mnie w balona robi. (ja blokuje, a on pokazuje wszystkim na około że i tak sie podpioł i ma). ;)

    0
  • #5 02 Lis 2007 14:35
    lector
    Poziom 2  

    mariuszg napisał:

    Sterowanie pasmem mam zrobione, nie chodzi tu o ograniczenie (nie zawsze spełniające swoje zadanie) tylko o sam fakt , żeby sobie klient nie myslal ze mnie w balona robi. (ja blokuje, a on pokazuje wszystkim na około że i tak sie podpioł i ma). ;)


    ...a jak to jest, ze user wykorzystuje cale pasmo skoro jest sterowanie pasmem?

    0
  • #6 02 Lis 2007 15:05
    mariuszg
    Poziom 12  

    lector napisał:
    mariuszg napisał:

    Sterowanie pasmem mam zrobione, nie chodzi tu o ograniczenie (nie zawsze spełniające swoje zadanie) tylko o sam fakt , żeby sobie klient nie myslal ze mnie w balona robi. (ja blokuje, a on pokazuje wszystkim na około że i tak sie podpioł i ma). ;)


    ...a jak to jest, ze user wykorzystuje cale pasmo skoro jest sterowanie pasmem?


    Ano bo jest dynamiczne :). Statyczne też mi nic nie daje (bo to lepiej zablokować całkiem wtedy),

    Dalej mi chodzi o to żeby nie miał netu (wogóle) w takiej sytuacji jak nie jest zalogowany do domeny (lub w takiej w której nie korzysta z "właściwego" kompa.

    0
  • #7 02 Lis 2007 21:50
    paawel
    Poziom 21  

    Swego czasu słyszałem o projekcie parowania IP z numerem twardziela i płyty głównej na linuchu -- ale jakoś nikt dalej tematu nie poszerza.
    Tak szczerze mówiąc to i pewnie na te numerki też by się znalazł po pewnym czasie programik, który by ich podmieniał w przysłowiowe 5 sekund, ale pomysł był niezły.
    Powiem tak-- na dzień dzisiejszy sprawa nie do załwienia-- wszystkie metody do obejścia, jeszcze po wifi można próbować WPA ale to też dno i 10 metrów mułu bo obniża parametry sieci o 70%.
    Jedyne co to porządny oklep klientowi który pokazuje pazurki.
    pozdr.

    0
  • #8 10 Lis 2007 16:59
    SzymonHK
    Poziom 20  

    Problem dość specyficzny, bo w kulki lecą użytkownicy, którzy mogą się uwierzytelnić. Muszę pomśyleć nad tym problemem. Doraźnie skonfigurować ARP (ziąwiać mac z ip) i filtrować ruch na routerze (pozwolić na 80, 443, 110, 25 wg potrzeb a resztę zablokować). Odezwę się jeszcze jak coś wymyślę.

    0
  • #9 11 Lis 2007 00:40
    dan-j2
    Poziom 18  

    Polecam ci zastosowac autoryzacje pppoe inaczej odpalic serwer pppoe w kazdy klient otrzymuje indywidualny login i haslo do internetu i tylko zalogowany uzytkownik otrzyma dostep do internetu a co dodatkowo kazdy uzytkownik co wdzwania sie na dany login i haslo tworzy ci wirtualny interface ppp+ np ppp1 ppp2 i tak dalej i tylko na jednym interface moze byc jedno nawiazane polaczenie co za tym idzie jezeli klient na innym komputerze bedzie chcial sie zalogowac owszem zaloguje sie ale otrzyma juz inny interface ppp niz ta osoba co pierwsza sie zalogowala wiec internet bedzie tylko na 1 komputerze :)

    0
  • #10 11 Lis 2007 15:26
    SzymonHK
    Poziom 20  

    dan-j2 napisał:
    Polecam ci zastosowac autoryzacje pppoe inaczej odpalic serwer pppoe w kazdy klient otrzymuje indywidualny login i haslo do internetu i tylko zalogowany uzytkownik otrzyma dostep do internetu a co dodatkowo kazdy uzytkownik co wdzwania sie na dany login i haslo tworzy ci wirtualny interface ppp+ np ppp1 ppp2 i tak dalej i tylko na jednym interface moze byc jedno nawiazane polaczenie co za tym idzie jezeli klient na innym komputerze bedzie chcial sie zalogowac owszem zaloguje sie ale otrzyma juz inny interface ppp niz ta osoba co pierwsza sie zalogowala wiec internet bedzie tylko na 1 komputerze :)


    Ale problem polea na tym, że użytkownicy są legalni, tylko podmieniają kompy, tak to rozumiem, więc pppoe nie pomoże.

    0
  Szukaj w 5mln produktów