中尉
- 注册时间
- 2016-1-6
- 金币
- 493 个
- 威望
- 0 个
- 荣誉
- 0 个
累计签到:35 天
连续签到:0 天
[LV.50]初入江湖
|
发表于 2016-8-29 17:19
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。
; X3 z ?; v. ]+ ^+ q m% R例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA
4 L# U, W, f5 ~/ q0 N3 _, V' r1 Q& K
B用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB
9 X7 H6 x) L/ h+ c0 d) D( e2 o$ |
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得1 Y @9 v: u2 h4 @# e; v: j
A用户权限。2 h+ u0 g9 k9 h2 T2 J' j
各位有没有好的办法阻止ARP欺骗。9 @1 Y2 O4 S- |- x6 R
! Y9 s2 P9 R" M: B1 Z
U% L# Z& J9 E& R* T$ A
************************************************************************** N3 ^5 Y5 M/ e5 ~. r( b e
使用如下方案:- k$ u+ ]2 L( P) u/ ]2 u* r% a5 f
: I D+ E1 D# {5 j+ m: J, _ARP欺骗技术(p-mac绑定在一起来解决)
9 ~" A4 h. J8 l4 G+ H J+ p+ X W0 D3 H! P4 C; S' D
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver& ^* u9 Y: \) F6 w/ o
! c4 ]" G7 @- E7 k使接内网的网卡arp 使用reply-only模式/ J$ W/ p7 G. r0 b1 O8 c1 a
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)
. G1 g2 L3 m A- ^只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过5 Z: h7 g+ D- G6 a. N
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。- b3 Z; a6 e( V0 m: T4 }
在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制
" Z/ b+ M* H( |7 U* e8 e! ]在ip/input 中把不能上网的机器全drop掉
7 b6 m0 \9 @8 j1 c" T' ~$ G( f" b& `. t+ S4 ~9 w; m* M' ]4 P/ g
2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)
. z s) W7 f" j4 U" `. a7 r4 o: F& N' @
3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,
% J, O. s& {0 w' \* a做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac
. W k! e5 d, @! K2 g绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域
& L1 A" k7 t+ F- \中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。
+ \! |8 @ {% }
) O: C+ F% w9 [+ A6 b+ {4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了: [) Q% |" ?: _ A; J. Z
用有网管功能的交换机如:3com cisco公司的产品, b( p" {, p3 X0 l* D& g1 [* Q E
把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)
3 K# D. z& T" }( d5 \
1 [! s( l% V+ B |
|
IP卡
狗仔卡
