Recientemente tuvimos un problema en el que un usuario trajo su computadora portátil desde casa y la conectó a la red, intentando obtener acceso a Internet. Sé que a nivel de puerto podría configurar restricciones de MAC, pero me preguntaba si había alguna forma de evitar que una máquina no compatible tuviera acceso a nuestra red en el futuro. Actualmente ejecutamos todas las máquinas cliente con Windows 7 y me gustaría simplemente decirle "si no es Windows 7, no hay acceso", pero no estoy seguro exactamente de cómo hacerlo. Estamos ejecutando un entorno AD, servidores Windows 2008 y superiores.
Pensé que tal vez NAP funcionaría, y parece tener una configuración para WinXP (y otra para Win7), pero me permite no permitir/permitir el acceso según si está actualizado, si la protección antivirus está activada, etc., no si es el propio Windows XP. ¿Hay alguna manera de desactivar cualquier cosa que no sea lo que especifico para obtener acceso a la red de esta manera?
¡Gracias de antemano por tu ayuda!
Respuesta1
El crédito debería ser para quienes lo mencionaron anteriormente, pero 802.1X es la forma de controlar este tipo de comportamiento. Hay muchas más cosas involucradas de las que tengo experiencia directa, pero uso un servidor RADIUS en casa para la autenticación en mi red inalámbrica. Con pfsense, fue fácil de configurar.
Respuesta2
La autenticación MAC es el tipo de autenticación más débil, las direcciones MAC se pueden falsificar en segundos otorgando acceso completo a la red, todo lo que el usuario tiene que hacer es averiguar la dirección MAC de su computadora portátil y falsificarla en su computadora portátil personal y tendrá acceso completo a la red corporativa.
Deberías usar 802.1x para detener esto, donde trabajo lo implementamos con conmutadores Cisco y servidores NPS de Windows, solo los dispositivos que forman parte del dominio obtienen acceso a la red. También usamos certificados con él.
Sin embargo, bloquear un puerto mediante direcciones MAC junto con 802.1x también es una buena idea para evitar ataques de inundación de MAC. Hemos bloqueado puertos en 8 direcciones MAC para mitigar el riesgo de un ataque de inundación de MAC.
Respuesta3
En primer lugar, asegúrese de desactivar todos los puertos de red que no es necesario utilizar.
Y ahora, pasemos a otra alternativa que no funcionará para usted, pero que la gente debe considerar. La toma de huellas dactilares pasiva del sistema operativo puede funcionar para alguien que quiera una solución a este problema, pero tal vez quiera bloquear a usuarios que no sean de Windows, o tenga una LAN de computadoras MAC y quiera bloquear cualquier otra cosa.
Lo incluiré como una posible solución que puede ser adecuada para algunas situaciones. Sin embargo, sigo pensando que algo como 802.1X es una opción más sólida.
No funciona porque hasta donde yo sé no puedes filtrar con osf con Windows:xp o algo así... ¿o sí? No puedo decirlo sin probarlo.
Pero supongamos que solo desea permitir máquinas con Windows.
1) Cree un puente de Linux. http://bwachter.lart.info/linux/bridges.html
2) Cargue el módulo de huellas dactilares del sistema operativo pasivo y use reglas como:
iptables -I ENTRADA -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j ACEPTAR
Leer más:¿Cómo bloquear/permitir paquetes enviados por un sistema operativo específico con iptables?
Luego, esta máquina puente se inserta entre su red y el enrutador. Si ya tiene un enrutador Linux en la red que usa como firewall/puerta de enlace, simplemente puede agregar las reglas del módulo osf a iptables.
Desafortunadamente, dado que la toma de huellas digitales del sistema operativo se basa en cómo un sistema operativo establece el TTL inicial, el tamaño de la ventana y algunos otros bits y piezas en los paquetes TCP SYN, solo funcionará con TCP. Además, puede ser derrotado. Entonces no es del todo seguro.
Respuesta4
Yo configuraría el filtrado MAC, ya que esta es la ruta más segura y puede estar seguro de que captará todo. ¿Por qué no desea configurar un filtro MAC?