Как сделать фильтрацию доступа к серверу по MAC адресу?

Question

[Павел Каптур]

Приветствую, у меня есть локальная рабочая сеть на статических адресах и в ней маленький сервер, надо сделать фильтрацию доступа к серверу и виртуальным машинам, расположенным на нем, по mac адресу. Подскажите какой нибудь подходящий инструмент.

Comments

[sim3x]

Если в сети заведется умник, то он сможет проснифать мак

[Павел Каптур]

sim3x: или найти zero-day, но в данном случае речь идет о защите от не очень умных пользователей

[Ульрих]

Павел Каптур: зачем тогда вообще фильтрация, если пользователи не очень умные?

[Павел Каптур]

Ульрих: паранойя)

[Михаил]

фильтрация нужна, но почему в данном случае недостаточно по ip ?

[Павел Каптур]

Михаил: потому что подменить ip легче чем mac

[Михаил]

Павел Каптур: Без прав администратора простым пользователям не так уж и просто сменить ip. А сложные пользователи разберутся как обойти фильтр по MACу.
Так или иначе предлагаю альтернативное решение в фильтрации по ip. При повторном ip будет конфликт адресов сети и это сразу детектируется в журналах сервера, что может быть как раз дополнительным алярмом при попытке несанкционированного доступа. На серверах и виртуалках укажите возможность доступа только с определенного ip.

Answer 1

[Михаил]

На коммутаторе поставьте фильтр с условием, что трафик по rdp протоколу (можно добавить протоколов на ваш вкус) к таким-то макам серверов закрыт, кроме вот таких маков.