Можете ли вы полностью запретить ПК из локальной сети?
Мне было интересно, можно ли полностью запретить ПК из локальной или беспроводной сети? Я знаю, что банить по MAC-адресу бесполезно, так как его можно изменить.
PS: предположим, что для подключения LAN/WLAN учетные данные не требуются.
6 ответов
Это правда, что клиенты могут изменять свои mac-адреса, что делает любую фильтрацию на этом более или менее бесполезной.
В проводных локальных сетях с правильным типом коммутаторов вы можете управлять с помощью MAC, которым разрешено подключаться к каким портам, и ограничивать количество MAC, разрешенных для порта. Это может помочь, если клиенты всегда подключены и включены, но кто-то, кто знает, что MAC находится на конкретной машине, может отключить поле доступа и изменить свой MAC-адрес для соответствия. Некоторые коммутаторы могут быть сконфигурированы для блокировки порта, если канал не работает, и требуют административного вмешательства, но это не очень хорошо масштабируется.
Таким образом, это именно та вещь, с которой протокол 802.1x должен был помочь. Вкратце, он требует, чтобы клиент предоставил учетные данные, которые аутентифицированы до предоставления доступа к сети. В статье в Википедии есть хорошее описание того, как это работает.
Насколько я знаю, без каких-либо учетных данных, что вы пытаетесь достичь, не может быть сделано. 802.1x at least puts the authentication at the network level, rather than allowing access, and then blocking use of network resources by some other means.
Вы ищете что-то под названием Контроль доступа к сети. Существует множество способов реализации NAC от разных поставщиков. Кроме того, в среде только для Windows / в основном вы можете реализовать изоляцию домена и сервера (не то, что вы не можете выполнить подобное в среде *nix, но это почти более болезненно, чем стоит). Благодаря изоляции домена и сервера, когда вы не запрещаете доступ к сети как таковой, вы запрещаете доступ к любому серверу и рабочим станциям на нем, и если это ваша машина, вы можете контролировать, какие серверы и рабочие станции этого конкретного сервера / рабочая станция может общаться.
Если физический доступ к сети (через проводной или радиоволны) возможен, всегда предполагайте, что машина может участвовать на транспортном уровне. Помимо этого, вы должны быть обеспокоены тем, на чем вы должны сосредоточить усилия по обеспечению безопасности.
В зависимости от размера вашей сети и типа оборудования второго уровня, вы можете разрешить только те MAC-адреса, которые вам нужны.
Как подключается ПК? беспроводной? проводной? Это компьютер, который кто-то приносит на работу, как сотрудник, использующий свой собственный ноутбук. В этом случае вы можете принять правовые или внутренние меры безопасности (в основном, если сотрудник меняет свой MAC-адрес для подключения и взламывает ограничение MAC-адреса в белом списке).
Если это внешний человек, который вторгается в сеть, как сосед, использующий ваш Wi-Fi, я думаю, что лучше всего никогда не позволять Wi-Fi-соединению не защищаться паролем и не шифроваться.
Если это VPN-доступ... если вы используете vpn с сертификатами, такими как openvpn, и если у него есть такой, вы можете запретить его, используя опцию crl.
Решения могут быть разными для каждого случая, а не только для сети или сервера.
Теперь, если ваш генеральный директор использует свой собственный ноутбук, полный вирусов... удачи;) но вы можете предложить почистить вещь, может быть:)
Я забыл, где я читал это раньше - но если у вас есть DHCP-сервер, вы можете в основном разрешить его в своей сети в качестве резервирования для этой конкретной машины, однако дать ему 0.0.0.0 для DNS и т. Д. Это единственный способ, который я нашел, как запретить машине подключаться к моей беспроводной сети раньше.