Дано: крупная сеть (около 20) свитчей и точек, около 500 устройств. Т.к. часто посещают гости, для них по умолчанию включен доступ в интренет, доменным пользователям настроены ограничения. Недавно завелся паразит, который приносит ноутбук, подключает к сети и включает торренты, естественно канал во внешний мир садится от этого.
Вопрос - как вычислить местонахождение гада, если известно только имя его устройства и выданный ip?
В общем-то интереснее всего на каком свитче или точке такой клиент оказался
во многих точках доступа можно посмотреть список активных клиентов, на коммутаторах это можно посмотреть только на управляемых, и то муторно (как раз об этом в (9)). ну и найдя нужное устройство вам еще потом бегать искать кто же это в реальности подключился.
если уж хочется непременно найти предателя, то как вариант залогировать весь http траффик на шлюзе (достаточно в принципе адресов кто куда ходит) ну наверняка же человек заходит в почту, в контакт, в одноклассники. Фильтруем логи и ищем в ссылках страничку или почтовый адрес автора, а там и ФИО.
(1) Infector, по mac-адресу забань и кто откуда завоет тот и паразит =), а так почти нереально, только если есть гаджеты для пинга/триангуляции или что-типа такого =)
(1) Infector, есть вариант в 7 построить карту сети и там плясать откуда коннект. Другой вопрос если сосед с верхнего этажа или соседнего дома узнал данные для доступа и приконнектился. Тут уже просто поставить пароли и менять их по регламенту.
(1) Infector, У данного паразита кроме выданного IP есть MAC адрес сетевой карты. (А то что их можно подменить знают не все).
Практически у многих шлюзов (брандмауэров, фаерволов, ...) поддерживают раздачу/запреты кроме IP ещё и по MACу.
(5) KiLLius, Контроллер домена на Windows 2008, управляется головной компанией. Wi-Fi запаролен длинным путаным ключом, Заблокировать по MAC, проблем нет, просто мини-экзекуцию хотели провести.
(3) Xershi, сосед исключен, ибо соседей нет и ближайшие несколько гектаров - родной завод. никакой сигнал до ближайшего чужого строения не пробивается. В общем-то интереснее всего на каком свитче или точке такой клиент оказался.
В общем-то интереснее всего на каком свитче или точке такой клиент оказался
во многих точках доступа можно посмотреть список активных клиентов, на коммутаторах это можно посмотреть только на управляемых, и то муторно (как раз об этом в (9)). ну и найдя нужное устройство вам еще потом бегать искать кто же это в реальности подключился.
если уж хочется непременно найти предателя, то как вариант залогировать весь http траффик на шлюзе (достаточно в принципе адресов кто куда ходит) ну наверняка же человек заходит в почту, в контакт, в одноклассники. Фильтруем логи и ищем в ссылках страничку или почтовый адрес автора, а там и ФИО.
1. Банить по MAC MAC
2. Искать по MAC адресе по свичам где сидит.
3. Если свитчи крутые можно поставить ограничение на скорость по порту и пусть себе качает, весь поток не забьет.
Запускаем cmd.exe Пишем tracert IP. Видим через какое устройство он коyнектится. На самом устройстве будет написан mac адрес. Собственно если впадлу искать в прошивки где написан будет его mac, то опять таки запускаем cmd.exe пишим ping IP. После того как отпингуется, пишем arp -a Ищем там наш IP напротив будет физический адрес. Ну а дальше блокировка на маршрутизаторе по mac. После банана прибежит сам и все станет на свои места.
Метафизики блин, забыли что вселенная материальна?
Вы же можете отследить на какие сайты сейчас именно в эту минуту выходят ваши гости?
Подождать пока пойдет связь с торентом во время некритичное для производственных программ, потом физически отключать свичи по очереди пока связь не оборвется, когда найдете на каком свиче он сидит по очереди отключать на этом свиче провода пока не найдете тот провод на котором он сидит когда найдете провод идти по проводу с топором и вырубить устройство на той стороне из сети самым материальным способом :) хотя можно и не идти а просто подать на провод 220 вольт, но сначала убедитесь что на этом проводе нет еще одного свича и что этот провод не идет в кабинет к генеральному...
(15) YanTsys,
Ты - Дыщь!
т.е ТыДыщь! Плюсую!
у меня давно уж этим не балуют... вифи - для проверенных. а всяки гости... их пригласившие насяльники должны регистрировать маки со сроком аренды.
есессно, в условиях AD
ЗЫ:Только, тссссссссс
есть вещи, позволяющие управлять железяками, даже если они не в домене.
а было бы клево...
бАлшойНачальникамаКошкаСамоубился()
Во время выступления оппонента...
когда соберу чемодан - поржу на прощание
ЗЫЗЫ: я ловил таких. адекватных, что просто ночью поиграться в ферму, или кино посмотреть - предупреждение, нет даже совет.
неадекватных -служебная гендиру - и ПНХ.
как-то в одной конторе пришлось искать любителя торрентов без всяких "циск". в админке тупого дир-300 сортировал вкладку "активность" по ip-адресу (по клиентам) и смотрел у кого больше всего сессий с подозрительными портами. таки-нашёл )
а так без адекватного железного или софтового набора только белый список приходит в голову (чтобы каждый раз таких паразитов не выявлять), ну и отдельную гостевую сеть для гостей...
а что если гостям открыть только порты 80 и порезать скорость. У меня хотевая сеть отделена от локальной фаерволом. Пароль на неё знают избраные и если нужно сообщают гостям. Пароли меняю раз....уже забыл ленюсь((. левых маков роде нет. тфу тфу.