Linux: запрещение доступа к сети, когда у пользователя статический IP-адрес

Question

Linux: запрещение доступа к сети, когда у пользователя статический IP-адрес

В моей сети я запускаю dhcpd3, настроенный на назначение IP-адресов только определенным MAC-адресам. Это прекрасно работает, я даже интегрировал его с bind9, чтобы автоматически создавать прямые и обратные имена хостов DNS с пользовательским TLD и все.

Но я еще не понял одну вещь: если пользователь установит статический IP-адрес на своей машине, он получит доступ к сети. Использование iptables для фильтрации IP-адресов, не входящих в диапазон, назначенный dhcpd3, также мало помогает, потому что, если пользователь с IP-адресом 192.168.0.20 отсутствует в офисе, этот IP-адрес все еще будет в списке разрешенных. И когда он подключит свой компьютер, у нас будет много проблем с дублированными адресами и тому подобным.

Решение, в котором dhcpd3 (или какой-либо другой DHCP-сервер) запускает внешний сценарий, который вызывает iptables для разблокировки адреса, было бы очень неплохо, но мне не удалось найти DHCP-сервер, который делает это.

Я подумывал об использовании 802.1X с RADIUS, но у меня есть несколько принтеров и IP-телефонов в сети, которые его не поддерживают, поэтому мне нужно сообщить коммутаторам, что некоторые порты не будут использовать 802.1X. Это открывает дыру, где они могут добавить небольшие 8-портовые коммутаторы в сеть и подключить туда свои машины. Кроме того, IP-телефоны имеют встроенный 2-портовый коммутатор.

Я знаю, что есть нечто, называемое RADA, где вы позволяете определенным MAC-адресам обходить аутентификацию RADIUS, но мои коммутаторы, к сожалению, не поддерживают это.

У меня действительно нет идей по этому вопросу. Может быть, есть очень простое и элегантное решение, но я действительно не мог найти сам.

3

linux ip dhcp-server address

Источник

11 июл '10 в 16:45

4 ответа

Другие вопросы по тегам linux ip dhcp-server address

Massimo 11 июл '10 в 17:08 2010-07-11 17:08 · Answer 1 · 2010-07-11 17:08

Вы не можете сделать это на уровне IP; если пользователь настроит свой компьютер на наличие действительного адреса / маски, он сможет получить доступ к вашей сети. Единственным вариантом здесь является фильтрация доступа на уровне MAC, что позволяет использовать только карты Ethernet, принадлежащие компьютерам (или устройствам), которым вы доверяете. 802.1x действительно лучшее решение здесь.

Kristoffer Björk 12 июл '11 в 05:48 2011-07-12 05:48 · Answer 2 · 2011-07-12 05:48

Некоторые коммутаторы могут делать то, что вы хотите. Для некоторых переключателей cisco есть функция под названием "ip source guard", которая делает то, что вы хотите. (Некоторые другие поставщики также имеют аналогичную функциональность; просто google vendorname и "ip source guard").

Из документов Cisco:

"Вы можете включить защиту источника IP, когда отслеживание DHCP включено на ненадежном интерфейсе. После включения защиты источника IP на интерфейсе коммутатор блокирует весь IP-трафик, полученный на интерфейсе, за исключением пакетов DHCP, разрешенных отслеживанием DHCP. Доступ к порту список управления (ACL) применяется к интерфейсу. ACL порта разрешает только IP-трафик с IP-адресом источника в таблице привязки IP-источника и запрещает весь другой трафик ".

Смотрите: http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_35_se/configuration/guide/swdhcp82.html для получения дополнительной информации о ip source-guard и dhcp snooping on Cisco переключается.

Sven 11 июл '10 в 17:17 2010-07-11 17:17 · Answer 3 · 2010-07-11 17:17

Я предполагаю, что открытие фильтра после того, как системе был назначен IP-адрес, открывает проблемы синхронизации. Я бы начал с использования arpwatch или чего-то подобного для поиска новых систем, сравнения его с таблицей аренды DHCP или списком разрешенных систем, и если вы обнаружите несанкционированную систему, заблокируйте ее на этом этапе. Как его заблокировать, зависит от вашей сетевой схемы и оборудования. Если вы не используете много настольных коммутаторов в офисах, моя идея состоит в том, чтобы просто деактивировать соответствующий порт коммутатора.

Другим более простым решением может быть активация 802.1X для большинства портов, но использование списка разрешенных MAC-адресов для портов, где это не будет работать. Конечно, это должно поддерживаться вашими моделями коммутаторов.

Slartibartfast 12 июл '10 в 01:26 2010-07-12 01:26 · Answer 4 · 2010-07-12 01:26

Вы можете ограничить некоторые порты определенными MAC-адресами. Если вы либо ограничите каждый порт определенным MAC-адресом (скажем, принтером), либо используете 802.1X для проверки подлинности его использования, то вы, вероятно, будете в максимально возможной безопасности и в здравом уме.

Я думаю, что некоторые коммутаторы предлагают возможность отключения порта, если они обнаруживают несанкционированные MAC-адреса, поэтому простое подключение концентратора вместо принтера приведет к отключению принтера после подключения их компьютера к концентратору.

Насколько он должен быть защищен / от чего вы защищаете? Вы можете дополнить это ручными проверками (просто просовывайте голову в каждую комнату в поисках странных вещей, прикрепленных к портам).