최근 사용자가 집에서 노트북을 가져와 네트워크에 연결하고 인터넷 액세스를 시도하는 문제가 발생했습니다. 포트 수준에서 MAC 제한을 설정할 수 있다는 것을 알고 있지만, 비호환 컴퓨터가 나중에 우리 네트워크에 액세스하는 것을 방지할 수 있는 방법이 있는지 궁금합니다. 우리는 현재 모든 Windows 7 클라이언트 컴퓨터를 실행하고 있으며 "Windows 7이 아니면 액세스할 수 없습니다"라고 간단히 말하고 싶지만 이에 대해 정확히 어떻게 해야 할지 모르겠습니다. 우리는 Windows Server 2008 이상의 AD 환경을 실행하고 있습니다.
나는 NAP가 작동할 것이라고 생각했고 WinXP(및 Win7용)에 대한 설정이 있는 것으로 보이지만 최신인지, 바이러스 보호가 켜져 있는지 등에 따라 액세스를 허용/허용할 수 있습니다. Windows XP 자체라면요. 이와 같이 네트워크에 액세스하지 못하도록 지정하는 것 외에는 아무것도 비활성화할 수 있는 방법이 있습니까?
도움을 주셔서 미리 감사드립니다!
답변1
위에서 언급한 사람들에게 공로가 돌아가야 하지만 802.1X는 이러한 유형의 동작을 제어하는 방법입니다. 직접 경험한 것보다 더 많은 관련이 있지만 집에서 무선 네트워크 인증을 위해 RADIUS 서버를 사용합니다. pfsense를 사용하면 설정이 쉬웠습니다.
답변2
MAC 인증은 가장 약한 인증 유형입니다. MAC 주소는 몇 초 만에 스푸핑되어 네트워크에 대한 전체 액세스 권한을 부여할 수 있습니다. 사용자가 해야 할 일은 랩톱의 MAC 주소를 찾아 개인 랩톱에서 스푸핑하는 것뿐입니다. 그러면 사용자는 전체 액세스 권한을 갖게 됩니다. 회사 네트워크에.
이를 중지하려면 802.1x를 사용해야 합니다. 제가 작업하는 곳에서는 Cisco 스위치 및 Windows NPS 서버와 함께 이를 배포했으며 도메인에 속한 장치만 네트워크에 액세스할 수 있습니다. 우리는 또한 인증서를 사용했습니다.
그러나 802.1x와 함께 MAC 주소로 포트를 잠그는 것도 MAC 플러딩 공격을 방지하는 좋은 방법입니다. MAC 플러딩 공격의 위험을 완화하기 위해 포트를 8개의 MAC 주소로 잠갔습니다.
답변3
먼저, 사용할 필요가 없는 모든 네트워크 포트를 비활성화했는지 확인하십시오.
그리고 이제 당신에게는 효과가 없지만 다른 사람들이 생각해 볼 수 있는 또 다른 대안이 있습니다. 패시브 OS 핑거프린팅은 이 문제에 대한 해결책을 원하지만 Windows가 아닌 사용자를 차단하거나 MAC 컴퓨터의 LAN을 갖고 다른 것을 차단하려는 사람에게 효과적일 수 있습니다.
일부 상황에 적합할 수 있는 가능한 솔루션을 거기에 던지겠습니다. 나는 여전히 802.1X와 같은 것이 더 강력한 옵션이라고 생각합니다.
내가 말할 수 있는 한 Windows:xp 등에서는 osf로 필터링할 수 없기 때문에 작동하지 않습니다... 아니면 할 수 있습니까? 시도해 보지 않고는 알 수 없습니다.
하지만 Windows 시스템만 허용하고 싶다고 가정해 보겠습니다.
1) 리눅스 브리지를 만듭니다. http://bwatcher.lart.info/linux/bridges.html
2) 패시브 OS 지문 모듈을 로드하고 다음과 같은 규칙을 사용합니다.
iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j ACCEPT
더 읽어보세요:iptables를 사용하여 특정 운영 체제에서 보낸 패킷을 차단/허용하는 방법은 무엇입니까?
그러면 이 브리지 시스템이 네트워크와 라우터 사이에 삽입됩니다. 방화벽/게이트웨이로 사용하는 네트워크에 이미 Linux 라우터가 있는 경우 iptables에 OSF 모듈 규칙을 추가하면 됩니다.
불행하게도 OS 핑거프린팅은 OS가 초기 TTL, 창 크기 및 TCP SYN 패킷의 기타 몇 가지 비트와 조각을 설정하는 방법을 기반으로 하기 때문에 TCP에서만 작동합니다. 또한, 패배할 수도 있습니다. 따라서 완전히 안전하지는 않습니다.
답변4
가장 안전한 경로이므로 MAC 필터링을 설정하겠습니다. 그러면 모든 것을 포착할 수 있습니다. MAC 필터를 설정하고 싶지 않은 이유는 무엇입니까?