В своей сети я запускаю dhcpd3, настроенный для назначения IP-адресов только определенным MAC-адресам. Он отлично работает, я даже интегрировал его с bind9, чтобы автоматически создавать прямые и обратные имена хостов DNS с настраиваемым TLD и всем остальным.
Но одного я еще не понял: если пользователь настроит статический IP-адрес на своей машине, у него будет доступ к сети. Использование iptables для фильтрации IP-адресов, не входящих в диапазон, назначенный dhcpd3, также не очень помогает, потому что, если пользователь с IP-адресом 192.168.0.20 не находится в офисе, этот IP-адрес все еще будет в разрешенном списке. И когда он подключит свой компьютер, у нас будет много проблем с дублированием адресов и тому подобным.
Решение, в котором dhcpd3 (или какой-либо другой DHCP-сервер) запускает внешний скрипт, который вызывает iptables для разблокировки адреса, было бы очень хорошо, но мне не удалось найти DHCP-сервер, который это делает.
Я рассматривал возможность использования 802.1X с RADIUS, но у меня есть несколько принтеров и IP-телефонов в сети, которые его не поддерживают, поэтому мне нужно было бы сообщить коммутаторам, что некоторые порты не будут использовать 802.1X. Это открывает дыру, в которой они могут добавить к сети небольшие 8-портовые коммутаторы и подключить туда свои машины. Также в IP-телефоны встроен 2-портовый коммутатор.
Я знаю, что есть что-то под названием RADA, где вы позволяете определенным MAC-адресам обходить аутентификацию RADIUS, но мои коммутаторы, к сожалению, не поддерживают это.
У меня действительно нет идей по этому поводу. Может быть, есть очень простое и элегантное решение, но я действительно не мог найти его самостоятельно.
Вы не можете сделать это на уровне IP; если пользователь настраивает свой компьютер на действительный адрес / маску, он воля иметь доступ к вашей сети. Единственный вариант здесь - это фильтровать доступ на уровне MAC, таким образом разрешая только карты Ethernet, принадлежащие компьютерам (или устройствам), которым вы доверяете. 802.1x - действительно лучшее решение.
Некоторые переключатели могут делать то, что вы хотите. Для некоторых коммутаторов cisco Catalyst есть функция под названием «ip source guard», которая делает то, что вы хотите. (Некоторые другие поставщики также имеют аналогичные функции; только имя поставщика Google и "ip source guard").
Из документов cisco:
«Вы можете включить защиту IP-источника, когда отслеживание DHCP включено на ненадежном интерфейсе. После включения защиты IP-источника на интерфейсе коммутатор блокирует весь IP-трафик, полученный на интерфейсе, за исключением пакетов DHCP, разрешенных отслеживанием DHCP. Доступ к порту Контрольный список (ACL) применяется к интерфейсу. ACL порта разрешает только IP-трафик с исходным IP-адресом в таблице привязки IP-источника и запрещает весь другой трафик ».
Видеть: http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_35_se/configuration/guide/swdhcp82.html для получения дополнительной информации о ip source-guard и dhcp snooping на коммутаторах cisco.
Я предполагаю, что открытие фильтра после того, как системе был назначен IP-адрес, открывает проблемы с синхронизацией. Я бы начал с использования arpwatch или чего-то подобного для поиска новых систем, сравнения его с таблицей аренды DHCP или списком разрешенных систем и, если вы обнаружите неавторизованную систему, заблокируйте ее на этом этапе. Как его заблокировать, зависит от схемы вашей сети и оборудования. Если вы не используете много настольных коммутаторов в офисах, я бы просто отключил соответствующий порт коммутатора.
Другим, более простым решением может быть активация 802.1X для большинства портов, но использование списка разрешенных MAC-адресов для портов, где это не сработает. Конечно, это должно поддерживаться вашими моделями коммутаторов.
Вы можете ограничить некоторые порты определенными MAC-адресами. Если вы либо ограничиваете каждый порт определенным MAC-адресом (например, принтером), либо используете 802.1X для аутентификации его использования, то вы, вероятно, максимально безопасны и останетесь в здравом уме.
Я думаю, что некоторые коммутаторы предлагают возможность отключать порт, если они обнаруживают неавторизованные MAC-адреса, поэтому простое подключение концентратора вместо принтера приведет к отключению принтера после подключения своего компьютера к концентратору.
Насколько это должно быть безопасно / от чего вы защищаетесь? Можно ли это дополнить с помощью ручных проверок (просто загляните в каждую комнату в поисках странных вещей, прикрепленных к портам).