Как боротся с нелегально подключившимся к сети ?
 

Народ, есть вопрос.. помогите советом.
Вообщем есть сеть.. 70 компов, смысл в том, что каждый подключившийся платит денюжку за подключение. И вот недавно вижу, что народ, дабы не платить денег за порт в свиче который стоит на чердаке, сам начал подключатся. конечно, можно тупо обрезать кабель.. но выход не в этом. Одного обрежим.. а остальные будущие нелегалы ???
Короче говоря, меня волнует один вопрос, как можно организовать сеть, что бы достып к ресурсам имели только определенные Ip. Как сделать это конкретно ? Можно я так понимаю поставить маршрутизатор питум собрать его на компьютере, и там все разрулить. А можно и купить саму желеску.. вот.. сколько она стоит ?
Не бейте ногами, если вопрос о том сколько стоит не в этом разделе.

При желании обойти ограничения нелегалы все равно смогут.
К примеру - установить у кого-то дома на компе вторую сетевую карту, настроить NAT, к сетевухе подрубить дешевенький свитч, и подключить другие компы через эту сетевуху. "Снаружи" же будет виден только исходный комп.

А каким именно способом подключаются нелегалы ? Как ты их вычислил ?

оплата по траффику
или любой лимит на трафик
ограничнить число единовременных подключений на айпи

Или на серваке PPPoE настрой для начала...

В пинципе насроить один раз сетку, через traffic inspektor по - моему прописать все ip, количество подключений по ip поставить запрет на любое посторонее подключение... придется погемороится, но за недельку все отладишь думаю :yees:

ответ один, и он широко применяется всеми московскими провайдерами - VPN.
Конечно, от нелегального подключения в свитч не спасет, но и доступа к ресурсам сети не даст.
К тому же, обычно в договоре прописывается, что за нелегальное подключение - штраф 300 долларов.
Тех же умников, что договор не заключали - резать. Можно даже по кабелю пройтись и поговорить с владельцем оного.

Устроить подключение только с определенных IP достаточно просто - достаточно поставить прокси и выпускать "в мир" только определенные компы (адреса).

Не знаю только, можно ли каким-то образом определить - идет подключение с единичного компа или с еще одного прокси - чтобы отсекать умников, описанных в посте #2...

Способы, безусловно, есть. В частности, помогает отслеживание такого параметра IP-пакета, как TTL.
На самом деле, провайдеру нет смысла бороться с такими подключениями - достаточно просто брать плату за траффик...
С нелегальным подключением провода в свитч бороться проще простого, если взять управляемый свитч - просто отрубить все неиспользуемые порты, и пусть попробуют подключиться...
Если же организовать подключение всех клиентов через VPN - нелегалы автоматически остаются за бортом...

сложно но можно! самая большая проблема найти злоумышленника ))))

А уж если совсем "по-взрослому", то активное сетевое оборудование должно стоять в охраняемых, на худой конец крайне труднодоступных местах.
"а на крыше пулемет, чтобы консервы не разворовали" (с) В.И. Чапаев.

нужна связка DHCP+ регулярное "объявление" в сеть "легальных" связок MAC+IP(неиспользующиеся MAC+IP забиваются нулевыми MAC-ами)+VPN(PPPoE)

На сколько я понимаю люди ходят в инет.
так вот в DHCP с помощью, например, статически прописаных (раз погемороиться придется)соответствий MAC-IP будут разрешены заходы в локальную сеть регистрированым пользователям и видны попытки заходов "нелегалов" - при правильной организации регулярной рассылки соответствий MAC-IP у них почти не будет шансов даже в локалку попасть. Это не защищает от альтернативного DHCP-сервера, но на 99% наглых лохов подействует :gigi: .
А с VPN(PPPoE) уже будет проще контролировать непосредственно выход в инет со строгой тарификацией. В случае если в тарифах анлим для клиента существует, тогда в договоре предусмотреть пункт про штраф за подключения третьих лиц и снятия с себя отвественности о коммерческой пригодности услуги(при обнаружении "умника" с настроеным NAT-ом "для друзей"- можно его и отключить на пару часиков ).

Самое простое - поставить умные свичи, и в них занести список MAC-адресов, соответствующих портам свича. После этого остануться только нелегалы работающие через NAT.

соответствие IP+MAC+авторизация какая-нибудь. Или впн любой.
И даже если трафик не считаешь - у тебя есть анлим тарифы - шейпь трафик. Допустим, за теже 25 баксов ты выдаешь клиенту 256К - какая тебе разница, один там человек, или 100? Уже никакой. Больше максимума не выкачают.
С натом бороться практически нереально - можно конечно отслеживать исходящий порт при tcp/udp если больше допустим 5000 - скорее всего нат, врядли с одной машины так высоко поднимешься :)

имхо, если поставить DHCP сервис раздающий IP в зависимости от Mac, и обязательно ограничить число открытых портов у пользователя, то и с натом бороться не нужно