Wir hatten kürzlich ein Problem, bei dem ein Benutzer seinen Laptop von zu Hause mitbrachte und ihn an das Netzwerk anschloss, um auf das Internet zuzugreifen. Ich weiß, dass ich auf Portebene MAC-Einschränkungen einrichten könnte, aber ich fragte mich, ob es eine Möglichkeit gibt, einen nicht konformen Computer in Zukunft daran zu hindern, überhaupt auf unser Netzwerk zuzugreifen. Wir verwenden derzeit alle Windows 7-Clientcomputer und ich würde ihm gerne einfach sagen: „Wenn nicht Windows 7, kein Zugriff“, aber ich bin mir nicht sicher, wie ich das genau anstellen soll. Wir verwenden eine AD-Umgebung mit Windows Servern ab 2008.
Ich dachte, NAP würde vielleicht funktionieren, und es scheint eine Einstellung für WinXP (und eine für Win7) zu haben, aber es erlaubt mir, den Zugriff zu verweigern/zuzulassen, je nachdem, ob es auf dem neuesten Stand ist, ob der Virenschutz aktiviert ist usw., nicht, ob es Windows XP selbst ist. Gibt es eine Möglichkeit, auf diese Weise den Zugriff auf das Netzwerk für alles außer dem, was ich angebe, zu deaktivieren?
Vielen Dank im Voraus für Ihre Hilfe!
Antwort1
Der Verdienst gebührt denjenigen, die es oben erwähnt haben, aber 802.1X ist die Methode, diese Art von Verhalten zu kontrollieren. Es ist viel komplizierter, als ich direkte Erfahrung habe, aber ich verwende zu Hause einen RADIUS-Server zur Authentifizierung in meinem drahtlosen Netzwerk. Mit pfsense war die Einrichtung einfach.
Antwort2
Die MAC-Authentifizierung ist die schwächste Art der Authentifizierung. MAC-Adressen können in Sekundenschnelle gefälscht werden, um vollen Zugriff auf das Netzwerk zu gewähren. Der Benutzer muss lediglich die MAC-Adresse seines Laptops herausfinden und sie auf seinem persönlichen Laptop fälschen, und schon hat er vollen Zugriff auf das Unternehmensnetzwerk.
Um dies zu verhindern, sollten Sie 802.1x verwenden. Bei mir auf der Arbeit haben wir es mit Cisco-Switches und einem Windows NPS-Server bereitgestellt. Nur Geräte, die Teil der Domäne sind, erhalten Zugriff auf das Netzwerk. Wir haben auch Zertifikate damit verwendet.
Es ist jedoch auch eine gute Idee, einen Port zusätzlich zu 802.1x durch MAC-Adressen zu sperren, um MAC-Flooding-Angriffe zu verhindern. Wir haben Ports auf 8 MAC-Adressen gesperrt, um das Risiko von MAC-Flooding-Angriffen zu verringern.
Antwort3
Stellen Sie zunächst sicher, dass Sie alle Netzwerkports deaktivieren, die nicht verwendet werden müssen.
Und nun zu einer weiteren Alternative, die für Sie nicht funktioniert, über die aber andere nachdenken sollten. Passives OS-Fingerprinting könnte für jemanden funktionieren, der eine Lösung für dieses Problem sucht, aber möglicherweise Nicht-Windows-Benutzer blockieren möchte oder ein LAN mit MAC-Computern hat und alles andere blockieren möchte.
Ich werde es als mögliche Lösung einbringen, die für einige Situationen geeignet sein könnte. Ich denke jedoch immer noch, dass so etwas wie 802.1X eine robustere Option ist.
Es funktioniert nicht, weil man meines Wissens unter Windows:xp oder so nicht mit osf filtern kann ... oder doch? Ich kann es nicht sagen, ohne es auszuprobieren.
Nehmen wir jedoch an, Sie möchten nur Windows-Rechner zulassen.
1) Erstellen Sie eine Linux-Brücke. http://bwachter.lart.info/linux/bridges.html
2) Laden Sie das passive OS-Fingerabdruckmodul und verwenden Sie Regeln wie:
iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j AKZEPTIEREN
Mehr lesen:Wie blockiere/lasse ich mit iptables Pakete zu, die von bestimmten Betriebssystemen gesendet werden?
Diese Bridge-Maschine wird dann zwischen Ihrem Netzwerk und dem Router eingefügt. Wenn Sie bereits einen Linux-Router im Netzwerk haben, den Sie als Firewall/Gateway verwenden, können Sie die OSF-Modulregeln einfach zu iptables hinzufügen.
Da OS-Fingerprinting darauf basiert, wie ein Betriebssystem die anfängliche TTL, Fenstergröße und einige andere Kleinigkeiten in TCP-SYN-Paketen einstellt, funktioniert es leider nur mit TCP. Außerdem kann es umgangen werden. Es ist also nicht ganz sicher.
Antwort4
Ich würde eine MAC-Filterung einrichten, da dies der sicherste Weg ist und Sie sicher sein können, dass Sie alles abfangen. Warum möchten Sie keinen MAC-Filter einrichten?