LINUX.ORG.RU

Защита от подключения rogue devices к кабельной сети

 , , rogue device


0

1

Нужно защититься от подключения к сети всяких левых Wi-Fi роутеров, домашних ноутбуков и прочих несанкционированных девайсов.

Какие бывают способы сделать это, и какие из них наиболее вменяемы?

Пока остановились на IPSec с аутентификацией (всмысле каждый пакет будет подписываться hmac-sha1) на каждой машине в режиме transport mode.

Ещё слыхал про IEEE 802.1X Network Login, но товарищ из майкрософта пишет, что не особо он защищает от rogue devices: http://technet.microsoft.com/en-us/library/cc512611.aspx (там есть описание атаки, начинается со слов «Now, here’s how the attack works»).



Последнее исправление: nozh (всего исправлений: 1)

Нужно защититься от подключения к сети всяких левых Wi-Fi роутеров, домашних ноутбуков и прочих несанкционированных девайсов.

Дюймовое листовое железо по стенам, полу и потолку.

anonymous
()

У меня знакомые, наоборот, wifi намеренно открытым оставляют, добрососедские отношения и отмазка от ответственности за левые посещения.

Скажем, отдать налево 10% от своих 50мбит и диск на 120гбайт в фате, чтобы любой там мог резвиться, а вы там будете «модератором».

Deleted
()

VPN и нещадно дропать остальные пакеты на всех интерфейсах. Зюзероутер в помощь.

anonymous
()
Ответ на: комментарий от cdshines

Я предложил не забывать про гостевую, сам же, наверное, со смартфоном по городу бегает, не знает, где прицепиться.

Deleted
()
Ответ на: комментарий от Deleted

отмазка от ответственности за левые посещения

От ответственности может и отмажешься, если повезёт, то от геморроя - точно нет.

anonymous
()
Ответ на: комментарий от Deleted

со смартфоном по городу бегает, не знает, где прицепиться

Такой нищеброд, что одноразовую симку для жпреза не купит, но имеет смартфон?

anonymous
()
Ответ на: комментарий от cdshines

тс, тебе для дома или в ынтерпрайз?

Ынтерпрайз, очевидно же.

nozh
() автор топика
Ответ на: комментарий от Harald

умный свич и фильтрация по MAC-ам для начала

MAC адрес, насколько я знаю, можно менять программно. В некоторых роутерах специально для технически необразованных пользователей сделали функцию «Clone MAC address», при использовании которой на порте с маркировкой Internet будет такой же MAC адрес, что и у сетевой карты рабочей станции.

nozh
() автор топика
Последнее исправление: nozh (всего исправлений: 2)
Ответ на: комментарий от nozh

Его конечно менять можно, но еще нужно знать, на какой менять. Если злоумышленник не знает правильного мака, ему это затруднит на некоторое время подключение к сети.

Короче, то что его можно менять, не значит что фильтрация по MAC не нужна

Harald ★★★★★
()
Ответ на: комментарий от Harald

Если злоумышленник не знает правильного мака, ему это затруднит на некоторое время подключение к сети.

Погугли «Clone MAC address», получишь кучу ссылок на мануалы к домашним роутерам, в которых эта функция - штатная. Соответственно даже технически необразованному человеку достаточно притащить такой роутер, что бы обойти фильтрацию. Узнавать MAC ему не нужно, за него это сделает роутер.

nozh
() автор топика
Ответ на: комментарий от nozh

ну это предполагает, что у юзверя уже есть устройство с валидным маком, также что он больше не сможет одновременно подключать оба устройства, придётся одно втыкать за роутер.

А с роутерами можно бороться путём принудительного выставления TTL=1 для всех входящих IP пакетов на ближайшем к юзеру роутере

Harald ★★★★★
()
Ответ на: комментарий от Harald

Задача которую я пытаюсь решить - предотвратить обмен данными между санкционированными и несанкционированными устройствами. Злоумышленниками в нашем случае считаются все сотрудники за исключением админов. :)

TTL=1 не помешает девайсам, находящимся в сети до роутера, обмениваться данными друг с другом.

Предполагается что на санкционированных девайсах у сотрудников (за исключением админов) нет прав администратора.

nozh
() автор топика
Последнее исправление: nozh (всего исправлений: 1)
Ответ на: комментарий от nozh

ну тогда на VLAN-ы разбивай девайсы по отделам и по функциональным назначениям.

Harald ★★★★★
()
Ответ на: комментарий от nozh

Подключенные через wifi друг друга не увидят.

sin_a ★★★★★
()

Существует класс решений, называемых NAC (Network Access Control). ИМХО в сочетании NAC'а и корректной настройкой сетевого оборудования, описанная задача может быть решена.

JaL
()

802.1x очень даже защищает. Периодическая переавторизация маков на порту достаточно хорошо работает, проверено на цысках. Если нужна совсем параноя - то смотреть в сторону MACsec (а не IPSEC), но это дороже.

blind_oracle ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.