Как запретить пользователям менять ip
IMHO.WS > Интернет, Глобальные и Локальные сети > Безопасность > Как запретить юзеру менять свой IP адрес в доменной AD сети?
23.05.2006, 15:28
Как запретить юзеру менять выделенный ему IP адрес в доменной сети с Active Directory? Сервер Windows 2003 Enterprise.
23.05.2006, 16:34
1)отобрать права администратора на локальной машине.
2)раздавать адреса через DHCP
3)написать бумажку за подписью НУ_ОЧЕНЬ_БОЛЬШОГО_ДИРЕКТОРА, что за самовольную смену IP адреса будет:
а) больно
б) очень больно
ц) за цугундер и на кукан
.
4) После очередной попытки сменить адрес ОБЯЗАТЕЛЬНО-ПОКАЗАТЕЛЬНО с большим шумом выполнить все содержимое пункта 3
23.05.2006, 17:35
KomatoZo
1) и 2) совершенно не подходят.
Насчёт остального — не серьёзно. И не по-сисадмински.
23.05.2006, 18:39
:ржать: :ржать: :ржать:
Да. Уж. Молодой чемодан. Вот только не обижайтесь. Вы смешны.
Я тут на SecurExpo большим дядям и тетям готовлюсь рассказывать о НЕОБХОДИМОСТИ четко прописанных политик безопасности, к которым относится и политика присвоения/изменения IP-адресов для построения надежной и безопасной IT-инфраструктуры, а вы мне говорите, что не «по-админски» это.. Звучит, ей-богу, как не «по-пацански». Смешно =)
А насчет того что 1) и 2) не подходит — граничные условия задачи в студию.
З.Ы. А несерьёзно как раз стремление показать, что все задачи можно решить только технически и наплевательское отношение к формальностям. Это взгляд 16тилетнего подростка, не столкнувшегося ни разу с серьёзными проблемами.
23.05.2006, 19:01
KomatoZo
Вопрос стоит о том, как выполнить такую настройку системными средствами Windows 2003 и Active Directory, для чего и было приведено название ОС.
Про человеческие методы рассказывай, пожалуйста, не здесь, а своим дядям и тётям.
Насчёт 1) и 2) — 1) локальные административные права нужны, 2) в сети используется именно статическое распределение адресов.
23.05.2006, 19:07
Rob:
Насчёт остального — не серьёзно. И не по-сисадмински.Не просто серьезно, а очень даже действенно! для начала 100$ за одну смену адреса и все будет в порядке. Я вообще не понимаю, что значит «неприемлемо». Кто тут админ он или ты? Если он — сиди тихо и помалкивай, если ты — то он юзер и должен знать свое юзерское место даже если привелегии локального пользователя ему необходимы для работы: все сетевые изменения только с разрешения админа (а разрешение через магазин ;))
23.05.2006, 19:46
vovik
В текущих условиях человек может обойти ограничения, сменив свой айпи адрес. Если никто не знает, есть ли возможность системными методами привязать юзера к одному и тому же айпи — вопрос снимается. Магазинов не надо, спасибо.
23.05.2006, 20:12
Rob:
В текущих условиях человек может обойти ограничения, сменив свой айпи адресНу, может так может. Если он «из себя такой царь» (Падал прошлогодний снег), то ему и карты в руки! Только это:
vovik:
для начала 100$ за одну смену адресаникто не отменял. А действует лучше всяких DHCP.
23.05.2006, 20:33
KomatoZo
Rob
Закончили перепалку, пожалуйста.
Rob
Тебе уже дали правильное решение.
1. Отобрать права локальных админов
(как правило, права локального администратора нужны для того, чтобы пользователи не дергали админов, когда им нужно что-то установить, удалить. В этом случае достаточно будет дать пользователям права на определенную папку и ветки реестра, где они могут ставить — сносить все, что угодно)
2. Поднять DHCP и раздавать адреса с него.
Поскольку DHCP уже есть, то можно в дополнение поставить хороший управляемый свитч, в котором зафиксировать таблицу и к которому будет иметь доступ только админ домена (в этом случае смена адреса станет бессмысленной).
Способов системно запретить локальному администратору вытворять со своей рабочей станцией все, что он захочет, я не встречал.
24.05.2006, 02:12
Ну пойди другим путём — на свичах привяжи жестко arp-ip. Чего ты в АД упёрся?
24.05.2006, 15:50
вставлю своих 5 копеек в дускусию, у меня имеется лан с 20 компами, раньше каждый выберал себе ИП сам, теперь запущен DHCP сервис раздающий ИП в зависимости от МАК, если человек берёт не свой ИП то он не имеет доступа к интернету и к серверу
24.05.2006, 16:40
А почему бы не запретить конкретно возможность заходить в проперти сетевого окружения через полиси?
31.05.2006, 14:45
вставлю своих 5 копеек в дускусию, у меня имеется лан с 20 компами, раньше каждый выберал себе ИП сам, теперь запущен DHCP сервис раздающий ИП в зависимости от МАК, если человек берёт не свой ИП то он не имеет доступа к интернету и к серверу
Тоже не совсем выход, т.к. если есть локальный админ, поменять МАС и IP не проблема. Скорее всего поможет скрипт проверяющий МАС, IP, имя машины и имя юзверя. Ну а дальше или моментальный логофф или хитрый route add или еще позлее что-нить. Думаю, если выставить логон определенного юзверя лишь на определенные тазики, тоже поможет.
31.05.2006, 15:08
Rob
у вас видимо 10-20 раб. станций, и НИКОГДА НИОДИН пользователь не должен иметь полные права на что-либо, кроме собственных документов (и то с оговоркой, что админ их тоже должен иметь), и если вы не понимаете, чем текущее положение вещей грозит
а) вам как ответственному за тех. состояние,
б) вам или бэкап менеджеру за потерянные документы,
в) вам или бухгалтерии за перерасход трафика, который по факту вычислить будет очень трудно,
г) вам, когда начальство задумается «а чем он управляет?»,
и не собраетесь его менять(как менять сказано выше), то сисадминский бог вам в помощь (если он есть), и надеюсь в мире не станет на одного БОФХа больше.
могу еще написать, чем это грозит, уже менее тяжко, но так же геморройно
Как ограничить доступ по IP адресам
Иногда возникает необходимость ограничить доступ к каналам определенным IP адресам. Или наоборот, разрешать доступ к каналу только определенному списку IP. Эту задачу можно решить с помощью бэкенда, собранного с помощью конструктора бэкендов.
С помощью конфигуратора можно настроить очень гибкие схемы авторизации. На этой странице приведем примеры как заблокировать определенные IP-адреса, или наоборот, пустить мимо системы авторизации. Это может быть полезно для систем мониторинга.
Все правила, описанные далее, могут быть применены к потоку или глобально.
stream example_stream < input fake://fake; on_play auth://blacklist; >
Где blacklist — имя одного из настроенных бэкендов. Конечно же, вы можете создать более одного авторизационного правила.
Заблокировать
Вся настройка происходит через /etc/flussonic/flussonic.conf.
auth_backend blacklist < deny ip 1.1.1.1; deny ip 2.2.2.2; deny ip 10.10/16; allow default; >
Это правило запрещает просмотр с двух определенных адресов (1.1.1.1, 2.2.2.2) и целой подсети (10.10.0.0/16).
Строка allow default; означает, что по умолчанию нужно всем разрешать просмотр, кроме адресов, перечисленных в deny . Подробнее об опции
Разрешить
auth_backend whitelist < allow ip 192.168.0/24; allow ip 10.10/16; allow ip 8.8.8.8; >
Это правило разрешает просмотр только из указанных сетей и конкретного IP-адреса. Остальные соединения будут блокироваться.
auth_backend multi < allow ip 192.168.0/24; backend http://examplehost/stalker_portal/server/api/chk_flussonic_tmp_link.php; >
Это правило разрешает просмотр из локальной сети, а остальные обращения через IPTV Middleware.
Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the «Software»), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED «AS IS», WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NON-INFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. —>
Как запретить изменять параметры сети?
От моего предшественника (сисадмина) в наследство досталась локальная сеть на 145 компьютеров. Локалка построена на удешевление ужасно, имеется 5 точек подключения к интернету (по причине структуры предприятия, разные юр.лица и статьи расходов на связь разные) которые встроены в локалку. Сама же локалка построена на свичах увязанных между собой, и модемы подключены в свободные гнезда свичей. Т.е. настройки соединения с интернет прописаны в модемах со статической пере адресацией, и как вы уже догадались пользователям присвоены то же статические IP адреса.
Так проблема вот в чем, по причине разной тарификации точек доступа в интернет некоторые из модемов не справляются с наплывом «желающих» пользователей и просто зависают или теряют настройка и т.д. Мой предшественник не нашел ни чего лучше чем научить пользователей менять в настройках локальной сети адрес шлюза, тем самым менять точку подключения в интернет.
Из-за такого рода чехарды со шлюзами начала часто сыпаться локалка целиком, восстанавливать приходится отключая все модемы (что бы народ успокоился со своими перебежками) и потом уже плавно ее запускать.
Что именно мне нужно сделать или какой из ваших уроков посмотреть что бы запретить пользователям изменять параметры настроек локальной сети, при всем выше изложенном права в локалке предшественник раздал админские всем кому не лень
Блокировка доступа к сайту по IP-адресу
Блокировка доступа по IP-адресу может стать эффективным способом решения проблемы постоянных атак и ботов на сайте. Рассмотрим, как заблокировать IP через файл .htaccess и плагинами для WordPress.
Зачем блокировать IP
- Блокировка IP-адресов, с которых производятся атаки, защищает ресурс от нежелательного трафика, снижает риск взлома и кражи данных.
- Снижение нагрузки на сервер за счет блокировки сетей, с которых приходит большое количество запросов от ботов.
- Предотвращение спама.
Но стоит заметить, что блокировка не поможет, если злоумышленники постоянно меняют адреса с помощью прокси-серверов и VPN.
Как закрыть доступ к сайту по IP в файле .htaccess
Для определенных IP-адресов
В файле .htaccess пропишите для каждого IP-адреса правило Deny from :
Deny from 127.0.0.1 Deny from 127.0.0.2
Вместо 127.0.0.1 и 127.0.0.2 впишите блокируемые IP. Если IP-адрес используют несколько пользователей, заблокированы будут все.
По маске
Блокировка IP-адресов по маске позволяет закрыть доступ к ресурсу с определенных подсетей. Маска подсети определяет диапазон блокируемых IP.
Например, сайт подвергается атакам со стороны IP-адресов в определенной подсети. Чтобы не блокировать каждый IP-адрес вручную, можно использовать маску для блокировки сразу всей подсети.
То есть, если IP-адреса находятся в диапазоне 127.0.0.1 — 127.0.0.254, достаточно прописать в .htaccess маску 127.0.0.0/24.
Deny from 127.0.0.0/24
Это полезно в случаях, когда злоумышленники используют различные IP-адреса в пределах одной подсети. Для определения маски подсети можно воспользоваться онлайн-конвертером IP в CIDR.
Для всех
Доступ к сайту можно закрыть также для всех пользователей, для этого достаточно добавить в файл .htaccess следующее правило:
Deny from all
Разрешение доступа с одного IP
Для разрешения доступа только с одного сетевого адреса в файле .htaccess пропишите:
Order Deny,Allow Deny from all Allow from 127.0.0.1
Где 127.0.0.1 – разрешенный IP-адрес.
Как запретить доступ к сайту по IP плагинами WordPress
Рассмотрим популярные плагины WordPress, которые позволяют заблокировать доступ к сайту по IP:
- iQ Block Country – обеспечивает защиту от спама, ботов и вредоносных атак, используя информацию об IP-адресах. Сам плагин можно скачать бесплатно, но за лицензионный ключ API GeoIP взимается ежегодная плата.
- WP Ban – дает возможность ограничить доступ по определенному IP-адресу или диапазону адресов, по имени хоста, по адресу сайта, по User Agent. Ведет статистику попыток захода на сайт заблокированных пользователей.
- IP Geo Block – в нем можно закрыть доступ из определенных стран или регионов, добавить целевые IP-адреса, которые нужно заблокировать или разрешить.