>cea mai buna solutie de pana acum este sa verifici periodic >daca exista 2 MAC uri identice in retea ! > Vorbesti prostii.
Daca sunt doua placi cu mac-uri identice in retea, se suie switch-ul pe pereti. De fapt, de bun simt ar fi ca SO sa nu "ridice" interfata daca detecteaza acelasi MAC in retea, dar nu bag mana in foc. Cea mai buna situatie, dupa parerea mea este un script bazat pe arpwatch (sau ceva home-made), care face urat de fiecare data cand se schimba vreo pereche IP-MAC, impreuna cu specificatii catre useri cum ca orice schimbare la setarile placii de retea (cat mai general, ca sa nu dai idei) se face doar dupa acordul dat anterior de catre administrator (poate isi schimba vreunul placa, deh). Punctul slab este daca isi schimba deodata si IP si MAC fara incercari prealabile (adica nu e in blacklist). Daca e vreunul suficient de smecher sa faca treaba asta, bravo lui! :) Poti sa arunci si numele de NetBios (sunt windows-uri, nu?) in joc, si verfifici periodic daca apar inconsistente intre baza ta de date ip/mac/netbios_name si ce zic arp si smbclient. Daca e vreunul suficient de prevazator, nu prea ai ce-i face (decat sa pui switch-uri cu management...) Mai sunt si metode de social-engineering: faci propaganda printre useri referitor la "unii care fura internetul altora" si or sa se pazeasca unii pe altii. Si bineinteles, sa te asiguri ca fiecare delincvent prins este tratat in asa fel incat sa nu mai aiba si altii idei. Petre. -- "Let's get physical..." - Olivia Newton-John ;) --- Detalii despre listele noastre de mail: http://www.lug.ro/
