Недавно у нас возникла проблема, когда пользователь принес свой ноутбук из дома и подключил его к сети, пытаясь получить доступ в Интернет. Я знаю, что на уровне порта я могу установить ограничения MAC, но мне было интересно, есть ли способ предотвратить доступ несовместимой машины к нашей сети в будущем? В настоящее время мы работаем на всех клиентских машинах с Windows 7, и я хотел бы просто сказать ему «если не Windows 7, то доступа нет», но не знаю, как это сделать. Мы работаем в среде AD, Windows Server 2008 и выше.
Я думал, что, возможно, NAP будет работать, и, похоже, у него есть настройки для WinXP (и один для Win7), но он позволяет мне запрещать / разрешать доступ в зависимости от того, обновлен ли он, включена ли защита от вирусов и т. Д., А не если это сама Windows XP. Есть ли способ отключить что-либо, кроме указанного, от получения доступа к сети таким образом?
Заранее спасибо за вашу помощь!
Следует отдать должное тем, кто упомянул об этом выше, но 802.1X - это способ контролировать этот тип поведения. Это намного больше, чем у меня есть непосредственный опыт, но я использую RADIUS-сервер дома для аутентификации в моей беспроводной сети. С pfsense это было легко настроить.
MAC-аутентификация - это самый слабый тип аутентификации, MAC-адреса могут быть подделаны за секунды, предоставляя полный доступ к сети, все, что нужно сделать пользователю, это узнать MAC-адрес своего ноутбука и подделать его на своем личном ноутбуке, и у него есть полный доступ в корпоративную сеть.
Вы должны использовать 802.1x, чтобы остановить это, где я работаю, мы развернули его с коммутаторами Cisco и сервером Windows NPS, только устройства, которые являются частью домена, получают доступ к сети. Мы также использовали сертификаты с ним.
Однако блокировка порта с помощью MAC-адресов наряду с 802.1x также является хорошей идеей для предотвращения атаки MAC-лавинной рассылки. Мы заблокировали порты до 8 MAC-адресов, чтобы снизить риск атаки MAC-переполнением.
Во-первых, убедитесь, что вы отключили все сетевые порты, которые не нужно использовать.
А теперь перейдем к другой альтернативе, которая не сработает для вас, но о ней должны подумать люди. Пассивный отпечаток ОС может сработать для кого-то, кто хочет решить эту проблему, но он, возможно, захочет заблокировать пользователей, отличных от Windows, или иметь локальную сеть компьютеров MAC и хочет заблокировать что-либо еще.
Я собираюсь добавить его как возможное решение, которое может подойти для некоторых ситуаций. Я все еще думаю, что что-то вроде 802.1X - более надежный вариант.
Это не работает, потому что, насколько я могу судить, вы не можете фильтровать с помощью osf с Windows: xp или что-то в этом роде ... или можете? Я не могу сказать, не попробовав.
Но предположим, что вы просто хотите разрешить только машины с Windows.
1) Создайте мост linux. http://bwachter.lart.info/linux/bridges.html
2) Загрузите модуль отпечатков пальцев пассивной ОС и используйте такие правила, как:
iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j ACCEPT
Читать далее: Как заблокировать / разрешить пакеты, отправленные определенной операционной системой с помощью iptables?
Затем этот мостовой компьютер вставляется между вашей сетью и маршрутизатором. Если у вас уже есть маршрутизатор Linux в сети, который вы используете в качестве межсетевого экрана / шлюза, вы можете просто добавить правила модуля osf в iptables.
К сожалению, поскольку отпечаток ОС основан на том, как ОС устанавливает начальный TTL, размер окна и некоторые другие элементы в пакетах TCP SYN, он будет работать только с TCP. Также его можно победить. Так что это не совсем безопасно.
Я бы настроил фильтрацию MAC-адресов, так как это наиболее безопасный маршрут, и вы можете быть уверены, что ловите все. Почему вы не хотите настраивать MAC-фильтр?