Ограничить физическое подключение к сети

[D1m0n]

Задача следующая:
имеется сеть порядка 50 машин. Связь через обыкновенные хабы. нужно ограничит физическую возможность подключения более одного ПК для конечного пользователя. То есть, чтобы человек не мог поставить у себя дома свитч, подрубить n-машин. вбить им IP из той-же подсети и юзать, пока админ не заметит и не начнет искать...

Я так понимаю что нужно курить в сторону сервака с дхцп и виндовым доменом...

[leo]

да.. это наиболее бюджетный вариант..

[D1m0n]

домен обязателен? просто не сталкивался с ним никогда.
Или можно просто при настройке DHCP четко привязать IP к MAC адресу?

З.Ы. За ссылки на "почитать, как всё сделать" буду признателен.

[leo]

D1m0n, ну если нужно недопустить появление машин, то домен и групповая политика безопасности это один из ключевых факторов.. ДХЦП ты и так к тем что есть 50 машинам к макам привяжеж.. (можно конечно и не вязать,но если ты один с сетью работаешь лучше что б знать всё машины по одному адресу..)

[D1m0n]

то есть курить в сторону домена и его настройки...
*ушел чудо книжку по серверу 2003 искать

[Harmer]

Да ну, какой домен. Домен только на уровне виндовых заморочек разрулит. А например, в контру погонять все равно можно будет.
ДХЦП может помочь только от тех, кто не догадается вбить адрес руками.
Тут нужны управляемые свитчи. Фичи могут быть самые разные, от вилан на юзера до ручного редактирования таблицы мак-адресов.
Но если юзер поставит дома роутер, то и это не поможет.
Непробиваемого решения задача не имеет, но на управляемом железе можно хоть попытаться.

[leo]

Harmer, по цене дорого выйдет.. на свичах токо разоришься.. а 100% отдачи не будет.. так зачем платить больше.. ??
Как вирант на линукс разбить сеть из 50 машин на сегменты и на шлюсах в прероутинге забить маки этих 50 машин.. тогда остаётся для проникновения только подмена этого самого мака..

[D1m0n]

Harmer, да в том то и дело, что как обычно в России - хотят все как можно дешевле сделать.

[Harmer]

Есть много всяких интересных вариантов, в том числе и бюджетных. Например, какая нибудь хрень типа IP Sentinel. Но самым правильным решением будет не техническое, а организационное.

[D1m0n]

Я с линухом плохо очень дружу. Вроде аналог IP Sentinel под вин нашел http://blog.kmint21.com/2008/03/12/arp-monitor/.
Ток не пойму толком принципа работы... Прога если нажодит один ип с другим мак начинает спамить его чтоль, чтоб ему не в моготу работать было? :)

[Георгий]

Цитата(D1m0n @ 12.3.2009, 16:27) Задача следующая:
имеется сеть порядка 50 машин. Связь через обыкновенные хабы. нужно ограничит физическую возможность подключения более одного ПК для конечного пользователя. То есть, чтобы человек не мог поставить у себя дома свитч, подрубить n-машин. вбить им IP из той-же подсети и юзать, пока админ не заметит и не начнет искать...

Я так понимаю что нужно курить в сторону сервака с дхцп и виндовым доменом...

Юзер вместо свитча может поставить дешевенький роутер и кучу компов за ним.
И пока ты не прийдешь к нему и не увидишь все это хозяйство - даже и не догадаешься сколько именно компов выходят в сеть через его окончание.
Технического решения нет. И привязка по MAC+IP не спасет, т.к. и то и другое меняется и подделывается. И управляемый свитч тоже, т.к. юзер сможет прятать компы за своим роутером.

[at_hacker]

+1 к Георгию. Полностью задача нерешаема, можно только несколько усложнить юзеру жизнь. А так -- фильтр MAC+IP обходится легко с помощью NAT.

[Harmer]

ЦитатаВроде аналог IP Sentinel под вин нашел http://blog.kmint21.com/2008/03/12/arp-monitor/.[/quote]
По описанию совсем не то.
http://ip-sentinel.blogspot.com/2008/10/ip-sentinel.html

[leo]

вот интересная статейка: http://www.rom.by/forum/Kontrol_v_seti Посмотрите может какой-то из способов и подберёте.