Как запрещать неизвестные устройства в сети?

Question

[AntohaRomaha]

Привестсвую.
Подскажите, пожалуйста, в какую сторону копать. Есть локалка с шлюзом на FreeBSD 10.2..
Как контролировать список устройств локальной сети средствами шлюза? По мак-адресам не очень то.. маки можно подменить. И как еще - даже не представляю.
Сейчас ситуация получается такая, что любой пришел, подоткнул ноут к свитчу или еще хуже распберри спрятал без палева, воткнутый в свитч.. то есть любой может стать участником локалки. Кроме как по маку можно детектить появляющиеся в сети устройства?

UPD. Доступ в Интернет - это не то. Нужно не пускать левое устройство в локалку.. В общем спасибо за ответы, буду разбираться.

Answer 1

[Макс]

802.1X. Но нужен не тупой свитч.

Comments

[AntohaRomaha]

У нас много свитчей. Все они должны чтоли быть программируемыми?

[Макс]

AntohaRomaha: логично предположить, что да. Ну или воспользуйтесь предложенным камрадом MefistofelKr способом - vpn. это никак не спасет от подключения к сети - но позволит игнорировать этот факт. минусы решения - ВЕСЬ трафик пойдет через vpn-шлюз.

Answer 2

[athacker]

Если по-простому, то можно сделать так: отключить все порты коммутаторов, которые не используются. На коммутаторе настроить port security -- чтобы каждый порт был с привязкой по MAC. Если будет воткнутно устройство с другим MAC-ом, то сеть у него не поднимется. Соответственно, для того, чтобы воткнуть ноут или что-либо другое -- придётся сначала из включенного порта выткнуть то, что туда уже было подключено, и настроить на "нелегальной" железке такой же MAC, как и на легальной.

Либо таки да -- 802.1x. Но для этого нужно и соответствующее оборудование, и поддержка со стороны клиентов (рабочих станций, или чо там ещё у вас в сети).

А на FreeBSD эта задача никак не решается. Можно контролировать доступ в интернет, допустим, через прокси с авторизацией. Но не подключение/отключение устройств в сети, этим в любом случае коммутаторы заведуют. Ну, хотя если решитесь на 802.1x, тогда на фре можно RADIUS-сервер поднять :-)

Answer 3

[MefistofelKr]

Использовать средства для авторизации и получения ip, через лог и пароль. И по логам уже увидишь, кто пытается получить доступ или openvpn и генерировать ключи для одного юзера. Dhcp вне openvpn отрубать

Answer 4

[nonname]

Есть ещё вариант разделения сетей. По сути нужно вынести общие ресурсы компании в отдельную подсеть и между ней и локалкой поставить фаерволл с авторизацией. Грубо говоря потенциальный злоумышленник подключившись к сети увидит просто набор из локальных ПК сотрудников и ничего более, не самый высокий уровень безопасности, но довольно простой и не требует больших затрат.

Answer 5

[bukass]

ip unnambered + DHCP
habrahabr.ru/post/108453

Answer 6

[SquareWheel]

Таки сделать привязку по макам, лишним не будет, ограничить пул раздаваемых адресов - не давать больше чем нужно(а всех любителей посидеть в интернете с телефонов можно вывести вообще в отдельную сеть). Нарезать сеть на под-сети(по отделам ,например), и закрыть их друг от друга. А в подсеть с серверами/сервисами - вообще акромя как vpn'ом не пущать. Ну, очевидно еще, что закрыть физический доступ к свичам, в боксы там прятатать.
Н