中尉
- 注册时间
- 2016-1-6
- 金币
- 493 个
- 威望
- 0 个
- 荣誉
- 0 个
累计签到:35 天 连续签到:0 天 [LV.50]初入江湖
|
发表于 2016-8-29 17:19
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。
( ~0 | Q" ]- G7 O/ C" I8 l例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA
$ a$ ?4 {. ~" G
& s) i: O5 B) f. UB用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB
$ k& ]4 K# _$ ^- b, b$ ^- \2 `
* e% R2 I5 L, M5 e) _* p那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得
5 e! N Y6 t0 @( B7 V! X" JA用户权限。+ I4 } r* ^1 A" K, K
各位有没有好的办法阻止ARP欺骗。5 d2 V, m! D% v$ `. q
: l: M1 g9 Q8 @$ P1 w3 }) j
( s" c+ `1 ]* K**************************************************************************: S. j' u4 I% A) b
使用如下方案:
5 Y, v9 A0 V; P- d# p6 k3 X- r" P. r8 ?7 y' P6 c6 Y5 G5 ~. M
ARP欺骗技术(p-mac绑定在一起来解决) r E2 m1 j7 _2 a% u2 R; l$ \
8 `' q1 Y0 k- ]' ~0 j- V/ L4 S
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver
/ r7 ?" O e" v4 }# K
5 s c2 n( Q1 o$ d }) Z使接内网的网卡arp 使用reply-only模式5 |' f1 K2 [* f8 W' w# N" {
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)
$ q$ x9 q+ u$ O只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过( P2 j' S9 f. Y5 t0 f( M
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
6 O$ |8 C) Y5 g d8 F! R" i0 s在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制# l# P6 }0 H- |2 U
在ip/input 中把不能上网的机器全drop掉
' t2 f" a6 J; k. z, \
3 _- |' c2 K2 I5 x ?2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)0 }, I) x* b' c( o/ ?. a
0 L; A. @+ ~1 S3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,4 Q' @6 D6 L" X' q3 W% S4 e
做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac% p4 C: ^( \0 M+ l
绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域7 W/ ~& D% F) q
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。
& P7 T; H) Q4 L, E3 K y O( i% [0 \ B
4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了! E1 t2 H% p9 P
用有网管功能的交换机如:3com cisco公司的产品 D( ^: P# o7 d& D' J
把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合), q/ Y" \0 q* p) z- j# G, f5 _, s4 |
# d" x4 G; n# V% g |
|