我們最近遇到了一個問題,用戶從家裡攜帶筆記型電腦並將其插入網絡,試圖訪問互聯網。我知道在連接埠層級我可以設定 MAC 限制,但我想知道是否有一種方法可以防止不合規的電腦將來存取我們的網路?我們目前運行所有 Windows 7 用戶端計算機,我想簡單地告訴它“如果不是 Windows 7,則無法訪問”,但不確定具體如何操作。我們運行的是AD環境,2008以上的Windows伺服器。
我想也許NAP 會起作用,而且它似乎有一個針對WinXP 的設定(還有一個針對Win7 的設定),但它允許我根據它是否是最新的、是否打開病毒防護等來禁止/允許訪問,而不是如果是Windows XP本身。有沒有一種方法可以停用除了我指定的之外的任何內容來存取網路?
在此先感謝您的幫忙!
答案1
這應該歸功於上面提到的人,但 802.1X 是控制此類行為的方法。其中涉及的內容比我直接經歷的要多得多,但我在家裡使用 RADIUS 伺服器在我的無線網路上進行身份驗證。使用 pfsense,設定很容易。
答案2
MAC 身份驗證是最弱的身份驗證類型,MAC 位址可以在幾秒鐘內被欺騙,從而授予對網路的完全存取權限,用戶所要做的就是找出他的筆記型電腦的MAC 位址,並將其欺騙到他的個人筆記型電腦上,他就擁有完全的存取權限到公司網路。
您應該使用 802.1x 來阻止這種情況,在我工作的地方,我們使用 Cisco 交換器和 Windows NPS 伺服器部署了它,只有屬於網域的裝置才能存取網路。我們也使用了證書。
然而,透過 802.1x 旁邊的 MAC 位址鎖定連接埠也是防止 MAC 泛洪攻擊的好主意。我們已將連接埠鎖定為 8 個 MAC 位址,以降低 MAC 洪氾攻擊的風險。
答案3
首先,確保停用所有不需要使用的網路連接埠。
現在討論另一種替代方案,它對你不起作用,但可供人們考慮。被動作業系統指紋辨識可能適用於想要解決此問題的人,但他們可能想要封鎖非 Windows 用戶,或擁有 MAC 電腦的 LAN 並且想要封鎖其他任何內容。
我將把它作為可能適合某些情況的解決方案。不過,我仍然認為 802.1X 之類的東西是更強大的選擇。
它不起作用,因為據我所知,您無法使用 Windows:xp 或其他東西使用 osf 進行過濾...或者可以嗎?不嘗試我就無法判斷。
但假設您只想允許 Windows 電腦。
1)建立一個linux橋。 http://bwachter.lart.info/linux/bridges.html
2) 載入被動式作業系統指紋模組並使用下列規則:
iptables -I 輸入 -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j 接受
閱讀更多:如何使用 iptables 阻止/允許特定作業系統發送的資料包?
然後,該橋接機將插入您的網路和路由器之間。如果網路上已經有一個 Linux 路由器用作防火牆/網關,只需將 osf 模組規則新增至 iptables 即可。
不幸的是,由於作業系統指紋識別基於作業系統如何設定初始 TTL、視窗大小以及 TCP SYN 封包中的其他一些位元和片段,因此它只能與 TCP 一起使用。而且,它也是可以被打敗的。所以它並不完全安全。
答案4
我會設定 MAC 過濾,因為這是最安全的路線,並且您可以確定您正在捕獲所有內容。為什麼不想設定 MAC 過濾器?