inserir o mesmo ip na rede - ataque interno

[darthv]

Srs
Estou com um sério problema de segurança, alguns funcionários estão forjando ip´s (ou seja, estão trocando os ips de suas máquinas por outros) , e estes ips
são dos servidores, provavelmente com o intuito de bagunçar.
Simplesmente causam com essa atitude falhas nos servidores, estou usando
o ethereal para tentar achar estes individuos, mas não tenho ainda uma ideia
de como proteger os servidores deste ato infantil.
Pergunta:
Como posso detectar esta mudanca de ips na máquina destes funcionarios sem estar presente , e sem verificar os logs locais , ou melhor ainda
como proteger o servidor para que o ip deste continue respondendo as workstations, ou seja se mudarem para o ip do servidor a rede continuara trabalhando normalmente?
Desde ja agradeço
Darthv <IMG SRC="images/forum/icons/icon_mad.gif">

[marcosmamorim]

Darthv,

Se as estações forem windows vc pode começar a bloquear pelo poledit, um palicativo que vem com o win98 original onde vc poderá bloquear tudo, digo tudo na estação. Ai assim que cada usuário se logar ele bloqueia tudo o que vc quiser na estação....

Marcos Amorim

[darthv]

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-04 21:58, marcosmamorim wrote:
Darthv,

Se as estações forem windows vc pode começar a bloquear pelo poledit, um palicativo que vem com o win98 original onde vc poderá bloquear tudo, digo tudo na estação. Ai assim que cada usuário se logar ele bloqueia tudo o que vc quiser na estação....

Marcos Amorim
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

Obrigado marcos
Fica uma pergunta, é possivel que o servidor nao perca seu ip ? que ele ainda responda aos servicos? ou alguma ferramenta que descubra o individuo?

[beastie]

vc já pensou em usar um servidor DHCP???

[darthv]

Bestie, Obrigado pela resposta
O servidor dhcp resolveria apenas a declaracao de ip nas configuracoes das workstations , sendo que as mesmas podem ser re-feitas e o servidor sempre tera um ip fixo, acho que nao resolveria a situacao, pois os funcionários detem certo conhecimento.
O situacao e grave colega, preciso achar um modo de descobrir o individuo sem fazer barulho e ter provas de tal infantilidade ou pelo menos achar um meio para que o servidor nao sofra falhas.
Mais uma vez obrigado

<IMG SRC="images/forum/icons/icon_eek.gif">

[nickstones]

Tem alguma coisa errada aí. Se vc é responsável pela área de informática da empresa reuna-se com os funcionários e seus superiores e discuta uma política de segurança e utilização para a empresa. Talvez um pouc de democracia desperte a responsabilidade dos colaboradores. Atos prejudiciais às políticas definidas para e pela empresa devem ser enquadrados nos artigos da CLT q tratam de demissão com justa causa.

[Mr_Mind]

eu resolvi uma situaçao identica ... correndo um sniffer .. qnd detectasse dois ip&acute;s iguais em pedidos ARP de MAC&acute;s diferentes .. ele logava os dois MAC&acute;s. aí apanhei o rapazinho ..

usa o arpwatch e coda um scriptizito em Perl pra isso!

abraços

Quanto a questao dos servidores ter endereco fixo, vc pode fazer isso no DHCP sim. o DHCP tem um recurso para determinados hosts jah terem ips reservados.

[]&acute;s
Luiz Felipe

[beastie]

Construa um DMZ no servidor roteando duas redes de classes diferentes, uma pras ws e outra pro DMZ...