Защита от подключения rogue devices к кабельной сети

Нужно защититься от подключения к сети всяких левых Wi-Fi роутеров, домашних ноутбуков и прочих несанкционированных девайсов.

Дюймовое листовое железо по стенам, полу и потолку.

Про окна забыл. No pun intended.

Дюймовое

facepalm

У меня знакомые, наоборот, wifi намеренно открытым оставляют, добрососедские отношения и отмазка от ответственности за левые посещения.

Скажем, отдать налево 10% от своих 50мбит и диск на 120гбайт в фате, чтобы любой там мог резвиться, а вы там будете «модератором».

ясненько. помог так помог!

тс, тебе для дома или в ынтерпрайз?

VPN и нещадно дропать остальные пакеты на всех интерфейсах. Зюзероутер в помощь.

Я предложил не забывать про гостевую, сам же, наверное, со смартфоном по городу бегает, не знает, где прицепиться.

отмазка от ответственности за левые посещения

От ответственности может и отмажешься, если повезёт, то от геморроя - точно нет.

со смартфоном по городу бегает, не знает, где прицепиться

Такой нищеброд, что одноразовую симку для жпреза не купит, но имеет смартфон?

тс, тебе для дома или в ынтерпрайз?

Ынтерпрайз, очевидно же.

умный свич и фильтрация по MAC-ам для начала

умный свич и фильтрация по MAC-ам для начала

MAC адрес, насколько я знаю, можно менять программно. В некоторых роутерах специально для технически необразованных пользователей сделали функцию «Clone MAC address», при использовании которой на порте с маркировкой Internet будет такой же MAC адрес, что и у сетевой карты рабочей станции.

Его конечно менять можно, но еще нужно знать, на какой менять. Если злоумышленник не знает правильного мака, ему это затруднит на некоторое время подключение к сети.

Короче, то что его можно менять, не значит что фильтрация по MAC не нужна

Если злоумышленник не знает правильного мака, ему это затруднит на некоторое время подключение к сети.

Погугли «Clone MAC address», получишь кучу ссылок на мануалы к домашним роутерам, в которых эта функция - штатная. Соответственно даже технически необразованному человеку достаточно притащить такой роутер, что бы обойти фильтрацию. Узнавать MAC ему не нужно, за него это сделает роутер.

ну это предполагает, что у юзверя уже есть устройство с валидным маком, также что он больше не сможет одновременно подключать оба устройства, придётся одно втыкать за роутер.

А с роутерами можно бороться путём принудительного выставления TTL=1 для всех входящих IP пакетов на ближайшем к юзеру роутере

Задача которую я пытаюсь решить - предотвратить обмен данными между санкционированными и несанкционированными устройствами. Злоумышленниками в нашем случае считаются все сотрудники за исключением админов. :)

TTL=1 не помешает девайсам, находящимся в сети до роутера, обмениваться данными друг с другом.

Предполагается что на санкционированных девайсах у сотрудников (за исключением админов) нет прав администратора.

У wifi оборудования бывает кнопочка «изолировать клиентов».

У wifi оборудования бывает кнопочка «изолировать клиентов».

и что она делает?

ну тогда на VLAN-ы разбивай девайсы по отделам и по функциональным назначениям.

Подключенные через wifi друг друга не увидят.

Существует класс решений, называемых NAC (Network Access Control). ИМХО в сочетании NAC'а и корректной настройкой сетевого оборудования, описанная задача может быть решена.

802.1x очень даже защищает. Периодическая переавторизация маков на порту достаточно хорошо работает, проверено на цысках. Если нужна совсем параноя - то смотреть в сторону MACsec (а не IPSEC), но это дороже.