@Divest
ITшник

Аутентификация в сети предприятия по учетной записи пользователя и компьютера в домене?

Доброго времени суток. Имеем сеть предприятия, в сети развернуты Active Directory ( режим работы домена 2012), Центр сертификации, TMG. Все более-менее хорошо работало, но обнаружилось, что к локальной сети физически могут подключиться компьютеры, которые не имеют отношения к организации. Хочется обезопасить себя и настроить доступ к ресурсам сети только для компьютеров находящихся в домене. В данный момент, подключив компьютер/ноутбук к сети(не зарегистрированный в домене предприятия), и забив учетные данные доменного пользователя, можно получить доступ к файловым хранилища (разграничение по уровню доступа имеются), к серверам баз данных. Каким образом можно запретить доступ к ресурсам сети "левым" компьютерам? Правильно ли я смотрю в сторону EAP-TLS?
  • Вопрос задан
  • 694 просмотра
Решения вопроса 1
@yellowmew
Cloud infrastructure, monitoring engineer. SRE
xgu.ru/wiki/NAC#802.1X
а вообще читайте по теме Network access control и network access protection

сетевики скорее всего более подробно расскажут про настройки оборудования(или хотя бы ткнут носом где копать) - я в проекте настраивал только NAP на windows 2008 =)
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Axel_L
@Axel_L
помощник сисадмина
я бы предложил ограничиться настройками коммутатора, на запоминание мак адреса подключенного компьютера, блокирование порта при подключении компьютера с отличным маком + отключение открытых портов.
Например в коммутаторах Cisco 3750 (как организовано на нашем предприятии) на портах настроена команда
port-security
Пример конфигурации порта доступа:
interface GigabitEthernet2/0/3
 description PORT_NAME
 switchport access vlan 20
 switchport mode access
 switchport port-security ! - активация port-security
 switchport port-security mac-address sticky ! - тип мак-адреса
 switchport port-security mac-address sticky 24be.050f.ee8d ! - собственно мак


Чуть больше информации port-security

Ну и вариант, который предложил товарищ yellowmew, смотреть в направлении 802,1х, правильный, это даст более гибкие возможности управления безопасностью
Ответ написан
Комментировать
@Divest Автор вопроса
ITшник
Ну и IPsec собственно. Инфраструктура сети достаточна обширна, 4 филиала в соседних областях. Боюсь, что половина служб может отвалиться
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы