Проблем в локалната мрежа.
| Автор |
|
| anonymousСъб, 10.06.06, 22:26 |
Проблема е доста голям и не се надявам някой да даде идея за решаването му, но все пак да попитам. В мрежата ми става нещено и дори не се знае дали е вирус или някой се прави на хакер. 10-20 пъти на ден неизвестен потребител става с IP адреса на сервера от който се пуска нета на цялата мрежа и така се спира нета на всички. Ппрблема е, че и MAC адреса на "новият собственик" на IP адреса на сървъра е сменен.При това на всеки 1-2минути се сменя с различен MAC. И така вече 2 седмици има много опити за хващане на проблема, но без успех..Без MAC и IP нямам идея как да се хване злосторника.
Някой ако има идея как да се справим с проблама да напише.. редактиран от anonymous на 10.06.06 22:52 редактиран от anonymous на 10.06.06 22:52 | | | anonymousСъб, 10.06.06, 22:50 | Проблем в локаалната мрежа.
| | | simmenВто, 13.06.06, 17:31 |
неразбирам много от мрежи, но няма ли начин да направите мрежата с DHCP и да разпознава потребителите по MAC, и ако даден адрес не е в базата данни да няма достъп до мрежата. | | | anonymousЧет, 15.06.06, 16:57 |
Здравейте , доста време не бях се появявал тук и не съм смущавал спокойствието на форума, но определено темата ми е интересна и мисля да дам няколко съвета, дано да са от полза. Съжалявам, но май нещо аз неможах да видя каква е операционната система на сървъра. От представените снимки подозирам че е Windows, поне така видях. Това е от значение да се уточни каква е системата. След което искам да маркирам няколко определящи точки. Първата от които е, интернет-а преди да дойде до сървъра, през рутер ли минава или машината е изложена директно на WEB пространството. Ще уточня малко по-долу защо споменавам това. Другото което е, кой има директен физически достъп до машината?? Това е много важно. И след като казах някои от важните неща, нека да дам скромното мнение и съвет. каквото е станало, е станало, това е, въпроса е да се види какво да се направи за напред за да не става. Ако накой който е "нежелан" е имал физически достъп до сървъра, може да е направил каквото си е поискал, с когото и да е текущ или вграден потребител. Така че не се знае какво може да е направено. Но всичко това са само "въздух под налягане" Съществената част е, Wundows Поддържа LOG.txt файл който казва кой какво е правил. Поверете във файла кой се е логвал на системата и с какво потребителско име и кога се е логвал. Това все пак ще даде представа за ситуацията. Но лично мой съвет а и на колегите ми с които говорих по въпроса е , да се изтрие абсолютно всичко на сървъра и да се инсталира абсолютно FRESH сървърна операционна система. Другото което е задължително, ако интернет-а минава през входен рутер, изтрийте и флашнете firmware на рутера. Инсталирайте му последните пачове и упгрейди. Активирайте DHCP на операционната система и вкарайте MAC адресите на карите на всички потребители. След което преминете към Security policy - те на сървъра и задайте на всеки 20 дни да се системата да иска потребителя да си сменя паролата. Незабравяйте да активирате "password pool" което означава, системата пази последните няколко (колкото сте задали) потребителски пароли и непозволява на потребителя да ги използва до момента токато им "изтече срока на годност на пазените пароли". Другото което трябва да се направи е да се активира полицата за гре6ен потребител или парола. Това означава че потребител който е въвел определен брой (колкото сте задали вие, желателно е да не е повече от 3) невалидни потребителско име ии парола, ще му бъде заключен акаунта. И още нещо. Активирайте на сървъра Accounting за всяко действие което някой е правел по сървъра. И последно оставете само едно потребителско име с Администраторски права което да има достъп до сървъра, използвайте защитени пароли и си инсталирайте хубава антивирусна система. ивайло | | | anonymousЧет, 15.06.06, 23:11 | RE: Проблем в локалната мрежа.
” Здравейте , доста време не бях се появявал тук и не съм смущавал спокойствието на форума, но определено темата ми е интересна и мисля да дам няколко съвета, дано да са от полза. Съжалявам, но май нещо аз неможах да видя каква е операционната система на сървъра. От представените снимки подозирам че е Windows, поне така видях. Това е от значение да се уточни каква е системата. След което искам да маркирам няколко определящи точки. Първата от които е, интернет-а преди да дойде до сървъра, през рутер ли минава или машината е изложена директно на WEB пространството. Ще уточня малко по-долу защо споменавам това. Другото което е, кой има директен физически достъп до машината?? Това е много важно. И след като казах някои от важните неща, нека да дам скромното мнение и съвет. каквото е станало, е станало, това е, въпроса е да се види какво да се направи за напред за да не става. Ако накой който е "нежелан" е имал физически достъп до сървъра, може да е направил каквото си е поискал, с когото и да е текущ или вграден потребител. Така че не се знае какво може да е направено. Но всичко това са само "въздух под налягане" Съществената част е, Wundows Поддържа LOG.txt файл който казва кой какво е правил. Поверете във файла кой се е логвал на системата и с какво потребителско име и кога се е логвал. Това все пак ще даде представа за ситуацията. Но лично мой съвет а и на колегите ми с които говорих по въпроса е , да се изтрие абсолютно всичко на сървъра и да се инсталира абсолютно FRESH сървърна операционна система. Другото което е задължително, ако интернет-а минава през входен рутер, изтрийте и флашнете firmware на рутера. Инсталирайте му последните пачове и упгрейди. Активирайте DHCP на операционната система и вкарайте MAC адресите на карите на всички потребители. След което преминете към Security policy - те на сървъра и задайте на всеки 20 дни да се системата да иска потребителя да си сменя паролата. Незабравяйте да активирате "password pool" което означава, системата пази последните няколко (колкото сте задали) потребителски пароли и непозволява на потребителя да ги използва до момента токато им "изтече срока на годност на пазените пароли". Другото което трябва да се направи е да се активира полицата за гре6ен потребител или парола. Това означава че потребител който е въвел определен брой (колкото сте задали вие, желателно е да не е повече от 3) невалидни потребителско име ии парола, ще му бъде заключен акаунта. И още нещо. Активирайте на сървъра Accounting за всяко действие което някой е правел по сървъра. И последно оставете само едно потребителско име с Администраторски права което да има достъп до сървъра, използвайте защитени пароли и си инсталирайте хубава антивирусна система. ивайло „
Операционната система на сървъра е Linux Fedora, а снимките са от моя PC на windows. До сървъра достъп имат много малко хота и всички те са служители във фирмата, така че мисля проблема не е причинен нарочно върху машината. Имам чувството, че си останал с впечатлението че проблема е причинен на самия сървер, а не е така. Просто някой недоволен потребител си сменя MAC адреса и след това IP-то си с това на сървъра и..Доколкото с идеята за потребителски имена и пароли, който да се сменят е трудно реализирана, защото мрежата е от 800-900 потребителя. Администраторски права имат само 2ма -собственика и един служител.. | | | anonymousЧет, 15.06.06, 23:29 |
Недоволния поптребител вече е заловен, но не знам как, така че може да не давате съвети повече. Благодаря на всички които дадоха идеи. | | | anonymousПет, 16.06.06, 00:08 |
Може ли само да попитам как е хванат "недоволния потребител" ??? Ивайло | | | anonymousПет, 16.06.06, 17:11 |
И на мен ми е много интерсно, но за жалост не се дава никаква информация. Може би е забравил да смени mac-а  редактиран от anonymous на 16.06.06 17:12 | | | anonymousСъб, 29.07.06, 13:04 |
ami malko razbiram ot tezi ne6ta i kato pro4etoh kakvo ste komentirali i snimkite mislq 4e tozi potrebitel e slagal realniq MAC na svoto PC ili na drugoto.Tova 6te re4e 4e kato smeni realniq MAC adres i go sloji na drugo PC toi blokita predhodnoto na koeto e bil MACA sled koeto PC i to nqma net ve4e.Dano da sym pomognal na nqkoi  | |  Коментар
|
Отговор
За печат
