Sziasztok! Adott egy 150 munkaállomással rendelkező közoktatási hálózat. Diákok kedvenc időtöltése hogy lelopják a gépek ip címet majd wifin ütközést generálnak. Gépek mac alapján kapnak ip címet kiszolgáló által. Gondolkoztam rajta hogy az ap kon lévő mac szűrés megfogná őket de túl sok laptop és ap van -> új gép felvétele / selejtezés nagyon körülményes lenne. Közoktatás-> nincs pénz hardveres eszközre. Valami egyszerű szoftveres megoldást tudtok ajánlani akinek volt már hasonló esete? (iptables hogy ha ip-t hozzá rendelem csak a dhcp ben lévő mac hez?)

Itthon van pár wifis mobil meg gép; amikor még a fiam haverja is átjön 2 telóval meg egy laptoppal tiszta káosz van, nem tud annyi eszközt kiszolgálni a router. Azt csináltam, hogy a router beállításokban az IP címemnél (mac alapján kiderítettem melyik a gépem) bepipáltam a "reserved" kockát. Azóta a gépem stabilan internetezik.

Szia! Szerintem egy normális routernek, de szerintem egy AP-nek is úgy kéne működnie, hogy IP ütközés (de itt inkább ütköztetés) esetén az "élő" kapcsolatnak van előnye. Tehát az aktív gépet nem dobja le a hálózatról, a duplikált IP címmel rendelkezőt meg nem is engedi fel. Tehát ha ez a baj akkor csak eszköz cserével tudod megoldani a problémát. Amúgy szoftveresen hogyan szeretnéd? Én max firmware frissítésben látom a lehetőséget.

Kevés az info, hol/milyen rendszeren van a dhcp szerver?

@"sömike"#p479436Nem cserélhetek ki 10 ap nincs rá keret. Firmware frissítés volt. A probléma az hogy a diákok konkrétan beadják mobilba a static címet amit kiszednek a gépekből. Tehát: isc dhcp server van fent a kiszolgálón amiben az ip címhez mac van társítva pl: host tanari1 { hardware ethernet 00:21:AT:3S:91:1F; fixed-address 172.16.1.1; } Diák betolja magának az ip címet ezáltal ha hamarabb lép fel hálózatra mint a fent említett tanár gép -> a tanári gépnek nem lesz ip címe mert a kiszolgálón már él a cím. Ehez kellene nekem olyan megoldás a kiszolgálóra: squid iptables stb... hogy a rendszer ellenőrizze vagy csak azt az ip címet engedje át amihez a dhcp betársított mac cím van.

@"runes"#p479438Nagyon furcsa MAC-címet követtél el...

Én arpwatch-csal megfognám azokat a mac -eket akik szopatnak. És minden AP-ről kitiltanám őket. Amennyiben az AP-ben van lehetőség tiltani a mac címeket. Szerintem max 10 ilyen eszközt fognál meg. Persze ehhez kell egy lista a munkaállomások mac címeivel. Vagy szétszedném a wifi és a LAN hálózatot. Ennek csak akkor van értelme ha LAN hálózaton lévő gépről nézik ki az IP címet. Így ha felveszik a wifi hálózaton az IP -ét nem tudnak vele mit csinálni.

@"runes"#p479438Kis olvasgatni való: arpwatch, arp-scan

@"a mester"#p479439Csak találomra írtam ezt...

@"runes"#p479443Szerintem egyik sem fogja megoldani aproblémát.

IP-ütközés

pinget

runesKis olvasgatni való: arpwatch, arp-scan

runes

a mesterCsak találomra írtam ezt...

runes

rockopapaAhelyett hogy azokra vadásznék akik illegálisan vannak a hálózaton szerintem egyszerűbb ha csak azokat engedélyezem akiknek lehet hozzá joguk. Squid lesz ebből legrosszabb esetben freeradius...

rockopapa

runesSzerintem egyik sem fogja megoldani aproblémát.

rockopapa

rockopapafreeradiussal meg lehetne oldani, de akkor a teljes hálózatot pppoe re kellene átalakítani.

runes

rockopapaMac szűrésen gondolkoztam de az problémás és egyszerűen megkerülhető... Valami tűzfal szabály kellene csak nem tudom hogy fogjak hozzá...

sömike

runesTalán járható lenne a MAC-IP társításokat törölnéd. Csak dhcp-t használnál. Vagy csak MAc szűrést.

pinget

runesNem lesz elég a tűzfal szabály.

runes

pingetMit javasolsz?

pinget

runesNem ismerem pontosan a hálózat felépítését, de szerintem is az lenne a legegyszerűbb, ha külön tartományban lenne a wifi és a vezetékes hálózat. Van másik ötletem is, de nem tudom, hogy működne-e, majd holnap letesztelem.

majtee

pingetOff: huncut dolog, hogy diákok adják fel a leckét az "öreg rókáknak"... Szerencsére elég kreativ a tanuló ifjúság, legalábbis egy része. Etika: elégtelen(?) Informatika: jeles!

pinget

majteeNem, informatika: elégtelen. Vehetné a fáradtságot a büdös kölke, hogy nmappal megnézi azt a tartományt és olyan ip címet vesz fel, ami nincs használatban :)

Csabee

valahogy így: http://beginlinux.com/blog/2009/06/defend-against-arp-spoofing/ http://www.tecmint.com/monitor-ethernet-activity-in-linux/ de tényleg nem könnyű, nálunk is előfordul havonta.

Következő oldal »