runes Sziasztok! Adott egy 150 munkaállomással rendelkező közoktatási hálózat. Diákok kedvenc időtöltése hogy lelopják a gépek ip címet majd wifin ütközést generálnak. Gépek mac alapján kapnak ip címet kiszolgáló által. Gondolkoztam rajta hogy az ap kon lévő mac szűrés megfogná őket de túl sok laptop és ap van -> új gép felvétele / selejtezés nagyon körülményes lenne. Közoktatás-> nincs pénz hardveres eszközre. Valami egyszerű szoftveres megoldást tudtok ajánlani akinek volt már hasonló esete? (iptables hogy ha ip-t hozzá rendelem csak a dhcp ben lévő mac hez?)
X-Padavan Itthon van pár wifis mobil meg gép; amikor még a fiam haverja is átjön 2 telóval meg egy laptoppal tiszta káosz van, nem tud annyi eszközt kiszolgálni a router. Azt csináltam, hogy a router beállításokban az IP címemnél (mac alapján kiderítettem melyik a gépem) bepipáltam a "reserved" kockát. Azóta a gépem stabilan internetezik.
sömike Szia! Szerintem egy normális routernek, de szerintem egy AP-nek is úgy kéne működnie, hogy IP ütközés (de itt inkább ütköztetés) esetén az "élő" kapcsolatnak van előnye. Tehát az aktív gépet nem dobja le a hálózatról, a duplikált IP címmel rendelkezőt meg nem is engedi fel. Tehát ha ez a baj akkor csak eszköz cserével tudod megoldani a problémát. Amúgy szoftveresen hogyan szeretnéd? Én max firmware frissítésben látom a lehetőséget.
runes sömikeNem cserélhetek ki 10 ap nincs rá keret. Firmware frissítés volt. A probléma az hogy a diákok konkrétan beadják mobilba a static címet amit kiszednek a gépekből. Tehát: isc dhcp server van fent a kiszolgálón amiben az ip címhez mac van társítva pl: host tanari1 { hardware ethernet 00:21:AT:3S:91:1F; fixed-address 172.16.1.1; } Diák betolja magának az ip címet ezáltal ha hamarabb lép fel hálózatra mint a fent említett tanár gép -> a tanári gépnek nem lesz ip címe mert a kiszolgálón már él a cím. Ehez kellene nekem olyan megoldás a kiszolgálóra: squid iptables stb... hogy a rendszer ellenőrizze vagy csak azt az ip címet engedje át amihez a dhcp betársított mac cím van.
sömike runesTalán járható lenne a MAC-IP társításokat törölnéd. Csak dhcp-t használnál. Vagy csak MAc szűrést.
rockopapa Én arpwatch-csal megfognám azokat a mac -eket akik szopatnak. És minden AP-ről kitiltanám őket. Amennyiben az AP-ben van lehetőség tiltani a mac címeket. Szerintem max 10 ilyen eszközt fognál meg. Persze ehhez kell egy lista a munkaállomások mac címeivel. Vagy szétszedném a wifi és a LAN hálózatot. Ennek csak akkor van értelme ha LAN hálózaton lévő gépről nézik ki az IP címet. Így ha felveszik a wifi hálózaton az IP -ét nem tudnak vele mit csinálni.
runes rockopapaAhelyett hogy azokra vadásznék akik illegálisan vannak a hálózaton szerintem egyszerűbb ha csak azokat engedélyezem akiknek lehet hozzá joguk. Squid lesz ebből legrosszabb esetben freeradius...
rockopapa rockopapafreeradiussal meg lehetne oldani, de akkor a teljes hálózatot pppoe re kellene átalakítani.
runes rockopapaMac szűrésen gondolkoztam de az problémás és egyszerűen megkerülhető... Valami tűzfal szabály kellene csak nem tudom hogy fogjak hozzá...
pinget runesNem ismerem pontosan a hálózat felépítését, de szerintem is az lenne a legegyszerűbb, ha külön tartományban lenne a wifi és a vezetékes hálózat. Van másik ötletem is, de nem tudom, hogy működne-e, majd holnap letesztelem.
majtee pingetOff: huncut dolog, hogy diákok adják fel a leckét az "öreg rókáknak"... Szerencsére elég kreativ a tanuló ifjúság, legalábbis egy része. Etika: elégtelen(?) Informatika: jeles!
pinget majteeNem, informatika: elégtelen. Vehetné a fáradtságot a büdös kölke, hogy nmappal megnézi azt a tartományt és olyan ip címet vesz fel, ami nincs használatban :)
Csabee valahogy így: http://beginlinux.com/blog/2009/06/defend-against-arp-spoofing/ http://www.tecmint.com/monitor-ethernet-activity-in-linux/ de tényleg nem könnyű, nálunk is előfordul havonta.
