[mdk-re] RE: [mdk-re] Два вопроса

[mdk-re] RE: [mdk-re] Два вопроса

[Зуев Дмитрий Федорович]

Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
сделать, AFAIK, можно, но MAC-адрес очень просто подменить.

Я тоже про это спрашивал, но сейчас вопрос в другом :

как запретить пользователям ставить IP адрес самостоятельно, а пользоваться
только услугами DHCP сервера ?

И попутно - по какому порту идёт обращение к DHCP ?

Дмитрий Зуев.

[mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса

[Alexandre Redko]

bootps             67/udp    dhcps                  #Bootstrap Protocol
Server
bootpc             68/udp    dhcpc                  #Bootstrap Protocol
Client

Regards to All
Alexandr Redko
LU # 178842
ICQ # 75828152
----- Original Message -----
From: "Зуев Дмитрий Федорович" <dima@magn.guta.ru>
To: <mandrake-russian@altlinux.ru>
Sent: Friday, March 30, 2001 8:18 AM
Subject: [mdk-re] RE: [mdk-re] Два вопроса


> Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
> сделать, AFAIK, можно, но MAC-адрес очень просто подменить.
>
> Я тоже про это спрашивал, но сейчас вопрос в другом :
>
> как запретить пользователям ставить IP адрес самостоятельно, а
пользоваться
> только услугами DHCP сервера ?
>
> И попутно - по какому порту идёт обращение к DHCP ?
>
> Дмитрий Зуев.
> 1╘╜╘╝К┴╘j)· ╡с²з▒Й╡х²╘√)ф╩╤зЩ╘√)ф╩≥╗≥╘√+┼wЧfv╤z╩╡&

[mdk-re] Re: [mdk-re] RE: [mdk-re] Два вопроса

[Вениамин]

> Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
> сделать, AFAIK, можно, но MAC-адрес очень просто подменить.

А может, кстати(наводящий вопросик :)), можно как то аутентификацию(по
логину-паролю) присобачить к ipchains-у (или др. доступу к "шлюзу") ?
Никто не знает? Хотя бы теоретически это возможно?

Re: [mdk-re] Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ

[Roman Mediakov]

Цитирую:

>> Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
>> сделать, AFAIK, можно, но MAC-адрес очень просто подменить.

В> А может, кстати(наводящий вопросик :)), можно как то аутентификацию(по
В> логину-паролю) присобачить к ipchains-у (или др. доступу к "шлюзу") ?
В> Никто не знает? Хотя бы теоретически это возможно?

Бог его знает...

Есть такая идея:
1. DHCPD где-то хранит свои логи.
2. Можно написать демона, который будет следить за ними и при
получении кем-либо IP-адреса по DHCP добавлять этот адрес в список
разрешённых к маршрутизации. При освобождении, соответственно,
удалять.

С уважением,
Медяков Р.В.
Управление ИТ
ОАО Уралтрансбанк

Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ

[Alexandr Zhegallo]

> как запретить пользователям ставить IP адрес самостоятельно, а пользоваться
> только услугами DHCP сервера ?
> 
> Дмитрий Зуев.
?? Если машины под NT , Win2000 , Linux - запаролить и не дать пароль
администратора ;-)) А если WIN95 или WIN98 - только административно . ;-)))
Моя машина - как хочу , так IP и ставлю ;-)))
--
Предположим в сети - 20 адресов , а доступ к интернет-прокси открыт с двух.
Я никак не смогу проконтролировать, что доступ _фактически_  будет
осуществляться с двух машин. Конечно , на свитче будет диагностика - типа IP
исползуется 2 раза ... а что делать - меры можно принять только
административные . Я стараюсь , чтобы сетки были поменьше , в них все на виду.
Александр Жегалло.

Re: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ

[Ivan Kudryashov]

Hello, Зуев Дмитрий Федорович!

30.03.2001 08:18:33, you wrote:

ЗДФ> Этот вопрос уже неоднократно поднимался. Статический мэппинг MAC->IP
ЗДФ> сделать, AFAIK, можно, но MAC-адрес очень просто подменить.

А как, кстати? Я, например, не знаю.

ЗДФ> Я тоже про это спрашивал, но сейчас вопрос в другом :

ЗДФ> как  запретить  пользователям  ставить IP адрес самостоятельно, а
ЗДФ> пользоваться только услугами DHCP сервера ?

Никак. Это локальная установка, запретить её невозможно да и не нужно.
Это   делается   чисто   организационными   мерами   и   автопроверкой
соответствия MAC и IP адресов.

Подмена адресов (при систематическом использовании)легко распознаётся.
При  риске  получить  в  награду  лишение  50% премии никто не полезет
заниматься ерундой.

Кстати,  даже  если ты поставишь такой запрет - это не панацея. Запрет
на  выход  в  инет  с  других  машин  элементарно обходится установкой
маскарадинга на любую "законную" тачку. Проверить же его использование
без  трансляции пакетов практически нереально. А разбирать все пакеты,
идущие  с  "законных"  машин  -  никаких  вычислительных  мощностей не
хватит.

-------------------------------------------
С уважением, 
Ivan Kudryashov <jony@chat.ru> ICQ 1547081

Re: [mdk-re] RE: [mdk-re] Два вопроса

[Sergei]

30 Март 2001 13:10 Вы написали:
> > как запретить пользователям ставить IP адрес самостоятельно, а
> > пользоваться только услугами DHCP сервера ?
> >
> > Дмитрий Зуев.
>
> ?? Если машины под NT , Win2000 , Linux - запаролить и не дать пароль
> администратора ;-)) А если WIN95 или WIN98 - только административно . ;-)))
> Моя машина - как хочу , так IP и ставлю ;-)))
> --
> Предположим в сети - 20 адресов , а доступ к интернет-прокси открыт с двух.
> Я никак не смогу проконтролировать, что доступ _фактически_  будет
> осуществляться с двух машин. Конечно , на свитче будет диагностика - типа
> IP исползуется 2 раза ... а что делать - меры можно принять только
> административные . Я стараюсь , чтобы сетки были поменьше , в них все на
> виду. Александр Жегалло.
Есть 2 проги под названиями:
1. poledit
2. restriсk
3. wintune
С помощью них можно закрыть доступ к настройкам компа и к реестру. Например, 
может вообще исчезнуть пункт главного меню "Настройка". С помощю этих прог я 
в школе (!!!) заставил детей учиться, а не баловаться с Win95. Причем они 
стоят уже 2-й год и ничего с ними не происходит.
------
Интересный момент с Win95: если щелкнуть на кнопку "Пуск" на панели задач, 
потом нажать Esc, Alt - <серый минус>, то исчезнет эта кнопка! Правда, до 
первой перезагрузки. Кстати, перезагрузка возможна только через Alt-Ctrl-Del.
------
Едиственный способ обойти - написать программу прямого доступа к реестру. 
Только надо знать что где лежит. 

-- 
С уважением, Епифанов Сергей

Re[2]: [mdk-re] RE: [mdk-re] ä×Á ×ÏÐÒÏÓÁ

[Roman Mediakov]

Цитирую:

>> Предположим в сети - 20 адресов , а доступ к интернет-прокси открыт с двух.
>> Я никак не смогу проконтролировать, что доступ _фактически_  будет
>> осуществляться с двух машин. Конечно , на свитче будет диагностика - типа
>> IP исползуется 2 раза ... а что делать - меры можно принять только
>> административные . Я стараюсь , чтобы сетки были поменьше , в них все на
>> виду. Александр Жегалло.
S> Есть 2 проги под названиями:
S> 1. poledit
S> 2. restriсk
S> 3. wintune
S> С помощью них можно закрыть доступ к настройкам компа и к реестру. Например, 
S> может вообще исчезнуть пункт главного меню "Настройка". С помощю этих прог я 
S> в школе (!!!) заставил детей учиться, а не баловаться с Win95. Причем они 
S> стоят уже 2-й год и ничего с ними не происходит.

Можно ещё поставить ZENWorks (если сетка под Netware 4.11) - отличная
вещь!

S> Интересный момент с Win95: если щелкнуть на кнопку "Пуск" на панели задач,
S> потом нажать Esc, Alt - <серый минус>, то исчезнет эта кнопка! Правда, до 
S> первой перезагрузки. Кстати, перезагрузка возможна только через Alt-Ctrl-Del.

Второй способ: через список задач снять explorer (сначала он покажет диалог
завершения работы, подождать 30 сек. и снять полностью), он
перезапустится и всё ОК. А уже в 98-й этого нету, а жаль - такой
первоапрельский прикол был ;-)

S> ------
S> Едиственный способ обойти - написать программу прямого доступа к реестру. 
S> Только надо знать что где лежит. 

Ещё одно предложение:
1. Берём программу wintune.
2. Берём программу regmon (www.sysinternals.com).
3. С помощью 1 закрываем доступ к Панели управления.
4. С помощью 2 смотрим, как 1 это сделал.
5. Формируем два reg-файла - restrict_on и restrict_off на основе
данных из 4.
6. Делаем на самбе кастрированный PDC и вставляем эти файлы в
логин-скрипты соответственно юзерам и себе.

С уважением,
Медяков Р.В.
Управление ИТ
ОАО Уралтрансбанк