Как не пустить новое устройство в интернет/интранет?

Question

[hbRegEdit]

Добрый день!
Есть КД WS 2008R2, DHCP,DNS,AD на нём же.
Необходимо реализовать следующую задачу:

1. При подключении нового устройства в сеть( Ethernet, Wi-FI) он получает IP по DHCP.
Пока устройство не подключено к домену( не прошло проверку на подлость) необходимо запретить ему доступ в интернет, то есть прописать левый шлюз(к примеру)
Как штатными средствами Винды это сделать.
2. Возможно нужен прокси-сервер, не на КД, а на другой машине, IP которого DHCP и выдаст устройству, но если юзер в AD не авторизован, то и ему интернетов не видать( как вариант, конечно)

Answer 1

[Армянское Радио]

Включить на шлюзе/прокси авторизацию через Kerberos/NTLM. Штатная же фича.

Comments

[hbRegEdit]

Шлюз = Роутер, там нельзя включить Kerberos.
NTLM отключен GPO

[Армянское Радио]

hbRegEdit, так сделайте, чтобы ходили через прокси. У роутера нету средств, чтобы надежно авторизовать клиентов.

[Армянское Радио]

Sha644, все что видит роутер, это IP клиента и MAC клиента - вещи, которые можно очень просто заспуфить.

Прокси же может использовать надежную аутентификацию через RADIUS / LDAP, например, защищенную от MITM

[Виктор Таран]

hbRegEdit, А можно одельку девайса

[hbRegEdit]

Виктор Таран, D-Link DIR-842

[hbRegEdit]

Sha644, да Radius там есть, но хотелось либо прикрутить авторизацию на прокси через AD (Squid там вроде ставят по классике) либо встроенными методами.
Проверка нужна в том случае, если вдруг кто-то воткнул в хаб "неясное" устройство, DHCP выдал ему IP и тот спокойно садит мне канал, к примеру или сёрфит по SMB-шарам устройств, которые не в домене(а они есть). Политика домена не даст лазить по доменным smb-шарам конечно же.

[hbRegEdit]

Фокс Йовович,
Уязвимость в протоколе Kerberos во всех виндах, включая 10 имеет место быть, однако.
NTLM/LDAP авторизации отключены политикой соответственно.

[Армянское Радио]

hbRegEdit, squid (или другой инструмент) как-то должен тянуть из AD креды для авторизации. Можно разрешить доступ к серверу AD по LDAP только из служебного VLAN, в котором нет пользователей, например.

[hbRegEdit]

Фокс Йовович, Если честно морочится с VLAN не хочется.
Но вот на счёт RADIUS интересно, там и Прокси не нужен будет.
Суть в том что мобильные Wi-Fi клиенты отвалится в случае с прокси, будут просить авторизацию AD, необходимо прозрачное внедрение.
Wi-Fi клиентов по идее стоит завести в другую подсеть, но тут и Wi-Fi принтеры висят,на том же DHCP КД.

[Армянское Радио]

Sha644, правильно ли я понимаю, что вы предлагаете каждое устройство цеплять через что-то типа PPPoE? Если нет, то как?

[hbRegEdit]

Sha644, как я понял алгоритм примерно таков:
1. Роль NPS на КД(DHCP, DNS)
2. Полный доступ устройству DLink в сеть так как он является интернет-шлюзом.
3. Добавление других коммутаторов в доверенные.
4. Настройка учёных записей и запуск сервера RADIUS в AD.
5. Настройка Radius для Wi-Fi 2G/5G на DLink.
6. Настройка RADIUS на других(удалённых) точках доступа в сети.
7. Можно также настроить VLAN для сетей Wi-Fi со своей подсетью, настроить марштизацию из Wi-Fi сети на сетевые Wi-Fi-принтеры.
А как такое реализовать с RADIUS на борту ?
192.168.1.1 Шлюз D-Link
192.168.1. X(Коммутаторы L2)
192.168.1.2 КД
192.168.1.X Рабочие станции
192.168.2.X Wi-Fi 2G клиенты
192.168.5.X Wi-Fi 5G клиенты
Тогда DHCP как настроить(если он всем раздаёт одинаковый диапазон IP) , чтобы Wi-Fi 2G получал адресацию 2.X,а 5G соответственно 5.X ?

[hbRegEdit]

Sha644,
Основные шаги, которые я описал я в принципе проделаю.(я собственно себе это и написал изучив предложенные ответы)
Как вы и описали лучше для начала протестировать RADIUS на Wi-Fi сети, а затем уже на основной.
А касательно адресации DHCP для сетей это для эстетики)