 Автор |
Сообщение |
_Maxim
Форумчанин
 |
|
ищу сабж
нужно разрешить список маков а остальное отрезать
по требованиям подходит comodo, но слишком он тяжелый... |
|
 |
|
 |
Arkan
Гуру
|
|
| |
|
|
weer
Гуру
 Предупреждений : 2
|
|
_Maxim
фильтр по мак адресу является фикцией и реального толку от него никакого нет, так как каждый школьник можем сменить мак адрес. и для решения этого вопроса нет разумных программных методов.
для проверки реальности мак адреса устройства необходим физически изолированный управляемый свич с функцией dhcp snooping в сочетании с физически изолированным dhcp сервером
опиши подробнее задачу которую ты хочешь решить. возможно, что у нее есть иное решение чем фильтрация по маку. |
|
| |
|
|
Arkan
Гуру
|
|
да согласен
но MAC адрес угадать (вычислить нужный) гораздо сложнее
а фитчя IPFW как раз в том что прописывается правилопо с IP адресоми с фукцией что если это правило срабатывает то автоматически проверка идет следующего правила где как раз и закладываются MAC параметры
IP вычисляется элементарно но вот чтоб MAC вытащить с удаленной машины я таких способов незнаю - за исключением того что компы в одной сети
Кстати с сервера под FreeBSD даже если все в одной сети то MACадрес вытащить у меня при всем желании так и неполучилось а с виндовых тачек вытаскивается моментом
надо почитать про софтинку nmap может ей какнибудь можно |
|
| |
|
|
Vlad
Гуру
 Предупреждений : 4
|
|
| DHCP вообще может не быть или его можно выключить, так что это мимо. если нет денег на управляемый свитч, используй vpn/pppoe и тд |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Arkan писал(а): |
| чтоб MAC вытащить с удаленной машины я таких способов незнаю - за исключением того что компы в одной сети |
если ipfw может узнать мак адрес киента - это означает что клиент находится в одной подсети с ipfw. это скорее всего означает, что все остальные клиенты так же находятся в этой подсети.
я потому и написал "нет разумных методов" |
|
| |
|
|
_Maxim
Форумчанин
|
|
сеть локальная. с динамичными адресами
я знаю что блокировка по мак не лучше блокировки по ип.
но поставленая задача.
программный фаервол нужен для создания списка _разрешенных_ маков к ресурсу под вин2003
wipfw пробовал первую очередь. но в ос выше вин хп сп2 неробил..(обновлений не нашел)
для доступа к инету используем впн с логино\паролем.
под линуксы реализовано иптаблесами |
|
| |
|
|
Arkan
Гуру
|
|
IPFW видит MAC на любом удаленном компе если тот не за рутером или какой либо проксей
MAC адреса вытаскиваются элементарной самой простой программкой TCTNetView (если компы в одной подсети конечно)
Да и с удаленных наверняка можно както вытащить
На крайняк можно и ARP табличку забацать чтоб по MAC рубить |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| _Maxim писал(а): |
| программный фаервол нужен для создания списка _разрешенных_ маков к ресурсу под вин2003 |
тут вопрос весь в том хочешь ли ты закрыть один общий ресурс на машине с вин2003 (\\server\foleder) или хочешь ли ты закрыть доступ ко всему серверу (\\server)
если первое - тебе будет нужно производить аутентификацию пользователей по мак адресу. это можно решить связкой AD + IAS (RADIUS). но задача эта досточно сложная и не всякие сетевые карты на машинах клиентов для этого подойдут.
если ты хочешь тупо закрыть доступ по нужным портам до всего сервера (\\server) то ставь на вин2003 Symantec Endpoint Protection. и там по нужному порту настраивай запрет доступа к локальному хосту для всех машин, и разрешай только по маку (или по ip раз у тебя есть dhcp)
но учти что для этого вин2003 и клиенты должны быть в одной подсети (чтобы мак можно было получить)
но эта система честно говоря выглядит весьма коряво по следующим причинам:
-клиент обращающийся к ресурсу не проверяет подлиность мак адреса
-третье лицо может подделать мак адрес клиента
короче, защиты никакой нет. проще на честном слове доступ ораничить  |
|
| |
|
|
TROLL_
Эксперт
|
|
weer
а где интересно IAS фильтрует по маку? чет такого не встречал.
_Maxim
комодо лучший выбор. но на сервер поставишь 2-ю версию , 3 только для ХР и .т.д. и 2 версии нет фильтра по маку, так что чет незнаю как и где ты тоже там нашел это.....
аркану
сам же сказал вычислиь мак просто посмотрев таблицу арп. в любом случае компы в сети общаются, понт этого файра
вир правильно сказал купить железку. там и по портам и по макам разведешь. |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
TROLL_
IAS не фильтрует по мак адресу
IAS позволяет производить аутентификацию пользователя AD по его мак адресу. при условии что это для него специально разрешено. (беспроводные сети - устаревшее оборудование + F1)
как следствие при желании (очень большом желании) можно разделять доступ к шаре.
| TROLL_ писал(а): |
| вир правильно сказал купить железку. там и по портам и по макам разведешь |
не так все просто.
я рекомендовал не всякую желязяку.
нужен свитч с dhcp snooping (option 82).
по сути такая железака доджна выполять не просто проверку мак адреса. задача - запретить на любом порту свитча использовать любой IP адрес кроме как полученый с dhcp сервера. сам dhcp сервер при этом на уровне свитча изолируется в отдельный vlan к которому все запросы кроме "чистых" dhcp отклоняются.
потому я и написал что требуется физически изолированный свитч и dhcp сервер. |
|
| |
|
|
TROLL_
Эксперт
|
|
weer
при всем к тебе уважении конечно... но я не представляю связку AD+IAS и фильтрацию по маку. ну нет в виндах стандартного ничего такого.
по поводу не всякой железки. эт ты накрутил шибко. достаточно на каждом порту у свича задать вход с определенного мака+ип, и клиент никуда не денется, сменит мак - ппц. |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
TROLL_
чтобы настраивать правила (мак+ип) на портах железки эта "железка" должена быть управляемым маршрутизатором (типа каталист)
если пересчитать стоимость циски на количество портов - получается очень дорого.
намного дешевле использовать коммутатор. стоимость порта коммутатора меньше в 10-15 раз относительно маршрутизатора.
| TROLL_ писал(а): |
| но я не представляю связку AD+IAS и фильтрацию по маку. |
ты IAS с ISA не перепутал? |
|
| |
|
|
Vlad
Гуру
Предупреждений : 4
|
|
| Цитата: |
чтобы настраивать правила (мак+ип) на портах железки эта "железка" должена быть управляемым маршрутизатором (типа каталист) |
я гоню или любой свитч L2-L3 умеет такое? а IP-MAC-Port Binding или Port Security сейчас умеет почти каждый управляемый свитч?
или
| Цитата: |
Если сеть построена на свитчах, поддерживаеющих 802.1x и Connecting multiple supplicants, то на домене поднять RADIUS + сертификацию. Поднять на свитчах аутентификацию 802.1x через RADIUS. Раздать каждому компу именной сертификат и включить проверку подлинности IEEE802.1x, тип EAP Смарт-карта или сертификат. Для принтеров и прочим сетевым устройствам придётся выделять определённые порты без 802.1x, зато с MAC привязкой.
В итоге получим: компы не привязаны к порту (можно использовать бук в любой точке сети )
Если есть свитч 3-го уровня, то можно ещё заморочить схему.
Создать 2 VLAN (101 и 102). VLAN101 сделать гостевым, а VLAN102 для людей, прошедших аутентификацию. Пока пользователь не аутентифицируется, он находится в VLAN101, как только пройдёт аутентификацию, попадает в VLAN102, где его ожидают все прелести жизни. В VLAN101 запихиваем все принтера и прочие устройства. Закрываем ACL доступ из VLAN102<->VLAN101, разрешая только доступ по определённым портам. Ставим HoneyPot в VLAN101 для нелегалов и тем самым отлавливаем нарушителей режима. |
p.s. если ты хочешь пускать в инет соседей, это одно и здесь проще будет договориться, а если это какая-то контора, то иди и требуй денег на железку. |
|
| |
|
|
TROLL_
Эксперт
|
|
weer
1.нет не перепутал. IAS(RADIUS) и AD не умеют фильтровать по мак. только по ип.
2. достаточно имхо L2 свича. цена не так высока а результат высокий. про какие маршрутизаторы ты говоришь???!!! побойся Бога!!!
Vlad
дак об этом я тебе и говорю.
ну с сертификатами это слишком, и мутерно, поверь.... проще всетаки привязать к порту, они же у тебя не странствующие клиенты???? |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Vlad писал(а): |
| IP-MAC-Port Binding или Port Security сейчас умеет почти каждый управляемый свитч? |
"почти каждый" свитч умеет либо по маку, либо по айпи. но не одновременно (И, а не ИЛИ)
это вообще большая глупость одновременно по маку и айпи проверять. я даже не могу представить реально для каких целей это может быть нужно. представь себе ситуацию. включаю я комп. загружатеся ОС. лезет на dhcp сервер получить айпишник. а тута свитч компу говорит "иди нафиг. не пущу тебя к dhcp серверу так как мак у тебя совпадает, а вот айпи нет..."
при этом мак и айпи на обычном ПК может поменять даже школьник.
если мы уж стали говорить про "совсем безопасную" огранизацию доступа в сеть то на программном уровне со стороны сервера в принципе такую задачу выполнить невозможно. так же как и невозможно решить ее только на аппаратном уровне со стороны клиента.
смарт-карты может быть еще помогут. но дорого шибко.
реальный результат можно получить используя NAC в различных вариациях. симантек, допустим, продает специальные железяки которые выполняют проверку подлиности.
в том же вин2008 и висте NAC вроде как нормально реализован (сам не проверял - не знаю). но это опять таки программно-аппаратное решение со стороны клиента.
http://technet.microsoft.com/ru-ru/library/cc785236.aspx
там копайтесь если есть желание прочитать про мак и IAS
IAS не считает проверку по мак адресу аутентификацией пользователя. но за авторизацию она вполне ему подойдет. ну а раз клиент авторизован ему можно будет назначить ту или иную групу. то бишь раздать ему нужный влан в котором такие же клиенты которые прошли авторизацию по маку будут болтаться.
реальное использование проверки по маку может понадобиться только для офигенно старого оборудования в вайфай сетях. других случаев зачем это может быть нужно я не могу предположить.Последний раз редактировалось: weer (Ср 11-02-09 : 01-14), всего редактировалось 1 раз |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| TROLL_ писал(а): |
| IAS(RADIUS) и AD не умеют фильтровать по мак. только по ип. |
виртуальная ситуация: сервер IAS находится так "далеко" что мак до него не долетает (маршрутизатор стоит или еще что)
размещаем "рядом" с клиентом dhcp сервер (физически изолированный)
на нем прописываем резервирование мак-айпи
затем все та же option 82 на свитче - при включении в сеть мы пускаем клиента только до dhcp сервера.
клиент получил айпишник.
свитч знает мак и айпи.
клиент не сможет сменить мак или айпи без повторного обращения к dhcp серверу. если попробует - порт заблочится пока админ не отпинает того кто такие пакости делает и не разблокирует порт.
мы точно уверены что данный айпишник соответствует маку устройства.
на IAS авторизуемся по айпи.
начинаем проверять политики 802.1x на основе айпишника. |
|
| |
|
|
Vlad
Гуру
Предупреждений : 4
|
|
| |
|
|
TROLL_
Эксперт
|
|
weer
....на нем прописываем резервирование мак-айпи ....
ты только что привязал с помощью DHCP мак и ип к клиенту, (хотя вобщем не понимаю зачем в этой сети с авторизацией с такой DHCP???- эт так в сторону...)
....свитч знает мак и айпи....
ну вот и вернулись к тому с чего начали, проще зарезервировать на свиче и все.
IAS ему даст только ИП доступ к сервреру, и еще всякий всячины )
и на последок.. проще сделать на домене и запретить юзерам на основе групповых политик вообще менять настройки сети, а дальше по схеме  |
|
| |
|
|
Arkan
Гуру
|
|
да вообщето юзверам и так неположено менять сетевые настройки
Легче на винде ISA сервер/клиент поставить настроить и хрен кто куда залезет без ведома админа |
|
| |
|
|
|
а что если у автора его нет? да и так ли он нужен в мелкой конторе.мы до сих пор так и не знаем, зачем автору топега нужен такой способ фильтрации. может быть все, что он будет делать, это пускать соседей в интернет. а ты говоришь про изолированный dhcp сервер 
