Recentemente, tivemos um problema em que um usuário trouxe seu laptop de casa e o conectou à rede, tentando obter acesso à Internet. Eu sei que em nível de porta eu poderia configurar restrições MAC, mas queria saber se havia uma maneira de impedir que uma máquina não compatível obtivesse acesso à nossa rede no futuro. Atualmente, executamos todas as máquinas clientes com Windows 7 e gostaria de simplesmente dizer "se não for o Windows 7, sem acesso", mas não sei exatamente como fazer isso. Estamos executando um ambiente AD, 2008 e servidores Windows superiores.
Achei que talvez o NAP funcionasse e parece ter uma configuração para WinXP (e outra para Win7), mas me permite proibir/permitir o acesso com base em se está atualizado, se a proteção contra vírus está ativada, etc., não se for o próprio Windows XP. Existe uma maneira de desabilitar qualquer coisa, exceto o que eu especifico, para obter acesso à rede dessa maneira?
Agradeço antecipadamente por sua ajuda!
Responder1
O crédito deve ir para quem mencionou acima, mas 802.1X é a forma de controlar esse tipo de comportamento. Há muito mais coisas envolvidas do que tenho experiência direta, mas uso um servidor RADIUS em casa para autenticação em minha rede sem fio. Com o pfsense, foi fácil de configurar.
Responder2
A autenticação MAC é o tipo de autenticação mais fraco, os endereços MAC podem ser falsificados em segundos garantindo acesso total à rede, tudo o que o usuário precisa fazer é descobrir o endereço MAC do seu laptop e falsificá-lo em seu laptop pessoal e ele terá acesso total para a rede corporativa.
Você deve usar 802.1x para impedir isso, onde eu trabalho implantamos com switches Cisco e servidor Windows NPS, apenas dispositivos que fazem parte do domínio têm acesso à rede. Também usamos certificados com ele.
No entanto, bloquear uma porta por endereços MAC ao lado do 802.1x também é uma boa ideia para evitar ataques de inundação de MAC. Bloqueamos portas em até 8 endereços MAC para mitigar o risco de ataque de inundação de MAC.
Responder3
Em primeiro lugar, certifique-se de desabilitar todas as portas de rede que não precisam ser usadas.
E agora vamos para outra alternativa que não funcionará para você, mas para as pessoas pensarem. A impressão digital passiva do sistema operacional pode funcionar para alguém que deseja uma solução para esse problema, mas talvez queira bloquear usuários que não sejam do Windows ou tenha uma LAN de computadores MAC e queira bloquear qualquer outra coisa.
Vou apresentá-lo como uma solução possível que pode ser adequada para algumas situações. Ainda acho que algo como 802.1X é uma opção mais robusta.
Não funciona porque, pelo que sei, você não pode filtrar com osf com Windows: xp ou algo assim ... ou pode? Não posso dizer sem tentar.
Mas suponha que você queira permitir apenas máquinas Windows.
1) Crie uma ponte Linux. http://bwachter.lart.info/linux/bridges.html
2) Carregue o módulo de impressão digital do sistema operacional passivo e use regras como:
iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j ACEITAR
Consulte Mais informação:Como bloquear/permitir pacotes enviados por sistema operacional específico com iptables?
Esta máquina ponte é então inserida entre sua rede e o roteador. Se você já possui um roteador Linux na rede que usa como firewall/gateway, você pode simplesmente adicionar as regras do módulo osf ao iptables.
Infelizmente, como a impressão digital do sistema operacional é baseada em como um sistema operacional define o TTL inicial, o tamanho da janela e alguns outros bits nos pacotes TCP SYN, ele só funcionará com TCP. Além disso, pode ser derrotado. Portanto, não é totalmente seguro.
Responder4
Eu configuraria a filtragem MAC, pois esta é a rota mais segura e você pode ter certeza de que está capturando tudo. Por que você não deseja configurar um filtro MAC?