Мне было интересно, можно ли полностью запретить ПК от LAN или WLAN? Знаю, что банить по MAC-адресу бесполезно, так как его можно изменить.
P.S: предположим, что для подключения к LAN / WLAN учетные данные не требуются.
Это правда, что клиенты могут изменять свои MAC-адреса, что делает любую фильтрацию более или менее бесполезной.
В проводных локальных сетях с соответствующими коммутаторами вы можете управлять с помощью MAC-адресов, которым разрешено соединение с каких портов, и ограничивать количество MAC-адресов, разрешенных для порта. Это может помочь, если клиенты всегда подключены и включены, но кто-то, знающий, какой MAC-адрес находится на конкретной машине, может отключить легальный ящик и изменить свой MAC-адрес в соответствии с ним. Некоторые коммутаторы можно настроить так, чтобы блокировать порт, если канал выходит из строя и требует вмешательства администратора, но это совсем не масштабируется.
Итак, это именно то, для чего был предназначен протокол 802.1x. Короче говоря, это требует, чтобы клиент представил учетные данные, которые аутентифицируются до предоставления доступа к сети. В википедия в статье о нем есть хорошее описание того, как это работает.
Насколько мне известно, без каких-либо учетных данных для доступа то, что вы пытаетесь выполнить, невозможно. 802.1x, по крайней мере, помещает аутентификацию на сетевой уровень, а не разрешает доступ, а затем блокирует использование сетевых ресурсов какими-либо другими средствами.
Вы ищете что-то под названием Контроль доступа к сети. Есть всевозможные способы реализации NAC от разных поставщиков. Дополнительно в среде только Windows / в основном вы можете реализовать изоляция домена и сервера (не то чтобы вы не могли сделать то же самое в среде * nix, но это почти больше, чем стоит). С изоляцией домена и сервера, хотя вы не препятствуете доступу к сети как таковому, вы предотвращаете доступ к любому из серверов и рабочих станций на ней, и если это машина, которой вы владеете, вы можете контролировать, какие серверы и рабочие станции этот конкретный сервер / рабочая станция может разговаривать.
Если физический доступ к сети (через проводной или эфирный) возможен, всегда предполагайте, что машина может участвовать на транспортном уровне. То, что он может делать помимо этого, - это то, о чем вы действительно должны позаботиться и на чем вы должны сосредоточить усилия по обеспечению безопасности.
В зависимости от размера вашей сети и типа имеющегося у вас оборудования уровня 2 вы можете разрешить только те MAC-адреса, которые вам нужны.
Как подключается ПК? беспроводной? проводной? Это компьютер, который кто-то приносит на работу, как сотрудник, использующий свой собственный ноутбук. В этом случае вы можете принять юридические или внутренние меры безопасности (в основном, если сотрудник изменит свой MAC-адрес для подключения и взломает ограничение MAC-адресов в белом списке).
Если это посторонний человек вторгается в сеть, как сосед, используя ваш Wi-Fi, я думаю, что лучше всего никогда не допускать, чтобы подключение Wi-Fi не было защищено паролем и не зашифровано.
Если это доступ к VPN ... если вы используете vpn с такими сертификатами, как openvpn, и если он у него есть, вы можете заблокировать его с помощью опции crl.
Решения могут быть разными для каждого случая, и не только для сети или сервера.
Теперь, если это ваш генеральный директор использует свой ноутбук, полный вирусов ... удачи;) но вы можете предложить почистить его, возможно :)
Я забыл, где я читал это раньше, но если у вас есть DHCP-сервер, вы можете разрешить его в своей сети в качестве резервирования для этой конкретной машины, но дайте ему 0.0.0.0 для DNS и т. Д. Это единственный способ, которым я нашел, как чтобы запретить машине подключаться к моей беспроводной сети раньше.