中尉
- 注册时间
- 2016-1-6
- 金币
- 493 个
- 威望
- 0 个
- 荣誉
- 0 个
累计签到:35 天
连续签到:0 天
[LV.50]初入江湖
|
发表于 2016-8-29 17:19
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。# Q1 L1 \4 ^1 t2 I* i
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA
8 {# P, P4 W8 S# _1 S% I" S" T
/ M6 l1 P7 h% ?B用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB- \2 Q- X9 [- Q
+ u1 ^1 {' ?/ w1 K E0 e2 N% H2 g
那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得- P0 k* _0 ^$ }. B7 y( m A
A用户权限。
% D1 o! Y. I- i7 q1 v各位有没有好的办法阻止ARP欺骗。
) J9 e6 d' v$ B0 o. U
2 e* d+ R, k( M" C& m
# [4 i& c+ J- }. |**************************************************************************8 f! L3 f. D+ w% N7 q0 Y
使用如下方案:1 s2 W/ E* ^7 w! H2 t1 u b; @+ K# C
! C$ p5 K9 e( H( z8 T8 ^; F, g
ARP欺骗技术(p-mac绑定在一起来解决)
* `; V5 X; b" q/ m9 t! u8 N+ D8 M/ s; `0 V9 e' F( S: z1 X
1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver2 y0 g$ ?' L5 y, h# G3 }
! Q+ y7 O6 f/ b4 U# @( Y使接内网的网卡arp 使用reply-only模式1 e9 A9 l2 r. C. [
在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)
7 P/ ]5 O+ X# s( A6 s$ c I8 E* f只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过6 g) P8 N* C2 [; z
两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
* L( V) G# T4 a) Q2 O在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制
8 F+ h! t% D3 o1 d在ip/input 中把不能上网的机器全drop掉
; V9 _+ W6 u0 i2 B- E; v- E" F% P* R. h
2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业)
8 M4 r0 e! g- M# @7 K; W5 r7 M# s; I
3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了, T' l( ~# _% I' }& E$ N
做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac* V! t: |% g, Q9 N9 t4 E3 z) y
绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域
7 k b" }6 c. J* [0 d. X f7 B中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。% x: C) i! l, v T' t+ S
; F7 _$ ~( ^6 Y" O# ]( \4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
1 |" S; g2 `8 c1 d' G2 I3 ?用有网管功能的交换机如:3com cisco公司的产品
q& ^1 n; ~1 y把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)
" [2 N2 {/ L5 B/ z
- D! `# ~& \! U3 h$ f |
|
IP卡
狗仔卡
