@AntohaRomaha
FreeBSD, PHP, MySQL, Jquery

Как запрещать неизвестные устройства в сети?

Привестсвую.
Подскажите, пожалуйста, в какую сторону копать. Есть локалка с шлюзом на FreeBSD 10.2..
Как контролировать список устройств локальной сети средствами шлюза? По мак-адресам не очень то.. маки можно подменить. И как еще - даже не представляю.
Сейчас ситуация получается такая, что любой пришел, подоткнул ноут к свитчу или еще хуже распберри спрятал без палева, воткнутый в свитч.. то есть любой может стать участником локалки. Кроме как по маку можно детектить появляющиеся в сети устройства?

UPD. Доступ в Интернет - это не то. Нужно не пускать левое устройство в локалку.. В общем спасибо за ответы, буду разбираться.
  • Вопрос задан
  • 1691 просмотр
Пригласить эксперта
Ответы на вопрос 6
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
802.1X. Но нужен не тупой свитч.
Ответ написан
athacker
@athacker
Если по-простому, то можно сделать так: отключить все порты коммутаторов, которые не используются. На коммутаторе настроить port security -- чтобы каждый порт был с привязкой по MAC. Если будет воткнутно устройство с другим MAC-ом, то сеть у него не поднимется. Соответственно, для того, чтобы воткнуть ноут или что-либо другое -- придётся сначала из включенного порта выткнуть то, что туда уже было подключено, и настроить на "нелегальной" железке такой же MAC, как и на легальной.

Либо таки да -- 802.1x. Но для этого нужно и соответствующее оборудование, и поддержка со стороны клиентов (рабочих станций, или чо там ещё у вас в сети).

А на FreeBSD эта задача никак не решается. Можно контролировать доступ в интернет, допустим, через прокси с авторизацией. Но не подключение/отключение устройств в сети, этим в любом случае коммутаторы заведуют. Ну, хотя если решитесь на 802.1x, тогда на фре можно RADIUS-сервер поднять :-)
Ответ написан
Комментировать
@MefistofelKr
Использовать средства для авторизации и получения ip, через лог и пароль. И по логам уже увидишь, кто пытается получить доступ или openvpn и генерировать ключи для одного юзера. Dhcp вне openvpn отрубать
Ответ написан
Комментировать
nonname
@nonname
Есть ещё вариант разделения сетей. По сути нужно вынести общие ресурсы компании в отдельную подсеть и между ней и локалкой поставить фаерволл с авторизацией. Грубо говоря потенциальный злоумышленник подключившись к сети увидит просто набор из локальных ПК сотрудников и ничего более, не самый высокий уровень безопасности, но довольно простой и не требует больших затрат.
Ответ написан
Комментировать
@bukass
ip unnambered + DHCP
habrahabr.ru/post/108453
Ответ написан
Комментировать
@SquareWheel
DevOops
Таки сделать привязку по макам, лишним не будет, ограничить пул раздаваемых адресов - не давать больше чем нужно(а всех любителей посидеть в интернете с телефонов можно вывести вообще в отдельную сеть). Нарезать сеть на под-сети(по отделам ,например), и закрыть их друг от друга. А в подсеть с серверами/сервисами - вообще акромя как vpn'ом не пущать. Ну, очевидно еще, что закрыть физический доступ к свичам, в боксы там прятатать.
Н
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы