[madmax24]

Вот в посте указано волшебное слово "свитч", относительно его есть пара вопросов: поддерживает ли он VLAN и есть ли у него возможность использования access list. Т.е. если файл сервер запихнуть в VLAN отдельный и все "хорошие" машины положить туда же, а плохие в другой VLAN. Соответственно доступа не будет. Ну а если есть возможность контроля доступа(в частности такое есть на HP proCurve 26 series) то можно в один свитч впихнуть хорошие компы и файлсервер и тупо забить mac для каждого порта, например.


п.с. Думаю, что есть более простые решения и более умные,..... но почему то они меня не посещают щас

[hunterkomp]

madmax24,
Огромное спасибо за совет, но в данном случае он не применим, т.к. свичи (или свитчи ) у нас разномастные - по большей степени самые дешовые. Так что они не поддерживают всякие там ограничения прав и т.п.

Опять же повторюсь - решение проблеммы должно быть максимально дешовым (без покупки управляемых свитчей и дорогостоещего софта)

Уверен что у народа есть толковые и действенные советы. Таких локалок как у нас ,по стране, сотни а может и более и по этому я думаю поможете мне - поможете очень многим.

Опять же спасибо ВСЕМ кто откликнется и предложит свои варианты!!! - Рассмотрим ВСЕ!!!

[madmax24]

hunterkomp, я вот тут подумал в течение дня и пришел к такому выводу, што на канальном уровне(а раз идет речь о mac адресах, то они используются тут) разграничения можно делать либо vlan'ами либо контролем доступа(acсess lists) Это не умеют неуправляемые комутаторы. Разграничение на сетевом уровне можно делать фаерволами(а они уже есть софтверные, а значит приобретенные с найденными ключами). Если соответственно выше поднимаца, то там уже и логины и пароли и прочее...
Это я к тому хочу сказать, што возможно охрану файл сервера попробовать поднять выше чем на канале, в связи с малым бюджетом?

[kim-aa]

Цитата hunterkomp:

Как ограничить права (используя MAC адрес) для ограничения доступа к файловому архиву. Архив будет на сервере. Размер предполагается пока 250гигов. по мере заполнения - докупим еще. »

- Средствами сервера это не делается, т. к. решение будет либо очень медленное, либо дорогое (сетевая карта должна обладать функциями Акселератора, разбирать VLAN и т.п.)

Вот стандартное решение для "бедных", правда для UNIX систем:
- ARP-служба на сервере конфигурируется таким образом, дабы ARP-таблица была статичной и редактировалась только руками. Этим мы добиваемся стабильности пар IP-MAC
- После этого на сервере в сетевых службах со спокойной душой можно пользоваться ограничениями по IP
- Вообще-же очень сильно желательно разделить сеть на сегменты 3-го уровня
Не совсем правда понятно сколько именно сегментов, т.к. если судить по маске, то у вас 256*256 хостов, если же по приведенному диапазону 3*256 хостов

Цитата hunterkomp:

192.168.0.1-192.168.3.255 маска 255.255.0.0) »

--------------------------------------------------------------------------------------------------------------------

Цитата hunterkomp:

FTP сервера как я понимаю - ограничивают только доступ тем, кто не знает пароля. FTP сервера - Это не решение. »

Это не правда. Что SAMBA, что FTP легко настраиваются для ограничений по IP
Однако лучшим выходом будет все таки раздача Логинов и Паролей.
Если в вашей сети есть кулхацкеры, тогда FTP - не безопасен.
--------------------------------------------------------------------------------------------------------------------
Что касаемо денег.
Да, все это возможно реализовать на свободном ПО.
Однако дабы все это прилично настроить потребуется около недели.
Специалист высокого класса будет драть с вас, ну скажем штуку в день, - итого почти 300$

[madmax24]

kim-aa, у меня вопрос: а насколько сложно в unix системах сломать arp таблицу? Я имею в виду это сложнее чем сломать логин/пароль?

[kim-aa]

madmax24,

Гы, а причем тут ломание? Оно не возможно в принципе и не зависит от ОС. Я просто не встречал реализаций данной идеи под win.

Суть идеи в чем:
- Когда пакет отправляется на какой-либо IP-адрес , см. например http://wiki.oszone.net/index.php/Шлю...к_это_работает , при передаче данных с сетевого на канальный уровень OSI, где адресация при помощи MAC-адресов, - осуществляется преобразование IP в MAC при помощи ARP.
Обычно это широковещательные запросы, в результате формируется ARP-таблица, где
IP-адресу соответствует MAC-адрес.
- При статической ARP-таблице сервер физически сможет ответить лишь IP-адресам прописанным в ARP-таблице.
Более того, он сможет ответить только парам IP-MAC.
Т. е. данный прием защищает сервер от доступа при помощи подмены либо MAC, либо IP.
Однако он не защищает от парной подмены MAC+IP, что в прочем более чем достаточно для большинства доморощенных "кульхацкеров".

Нечто подобное используется в свичах D-Link, как "IP-MAC Binding"

[madmax24]

Цитата kim-aa:

причем тут ломание? »

Извиняюсь, я неправильно словцо то нужное подобрал Я имел в виду насколько сложно доморощеному кульхакеру в unix системе получить доступ к файлу с arp таблицей и "поисправлять" его. Типа без пароля su не получица?

[kim-aa]

Цитата madmax24:

Типа без пароля su не получица? »

Да.

вот пример реализации http://ism.tup.km.ua/apache/mac_ip.html

[madmax24]

Спасибо, вот в каникулы и почитаю