LINUX.ORG.RU
решено ФорумAdmin

Защита локальной сети

 ,


1

4

Всем салют! Недавно электрики в офисе исполнили и подкинули следующую задачку: Перенесли стойку с неуправляемыми коммутаторами и после переноса воткнули все провода, которые были около неё. Провода, которые раньше не были подключены идут в офисы, которые больше не принадлежат конторе, там сидят арендаторы. Таким образом, у арендатора появляется возможность попасть в сеть нашей конторы. Для защиты доступа в интернет левых, настроен прокси с авторизацией в домене, но не это не исключает того, что при подключении к сети чужого компа не будут видны другие устройства в сети.

Провода не подписаны и не понятно какой куда идет. Коммутаторы не управляемые. Быстро приехать в офис и найти чужие провода нет возможности, как и нет возможности выдернуть все провода из коммутаторов и ждать, пока позвонит свой пользователь, что бы воткнуть.

В связи с этим вопрос, как обезопасить себя от подключений чужих устройств? Можно ли как-то организовать белый список мак адресов?

Неуправляемые коммутаторы, самостоятельные электрики, удалённый админ — это просто какой-то гальванизированный неуправляемый офис :)

Где вы хотите прописывать белый список mac-адресов, если речь идёт не о компах в домене, а про «другие устройства в сети»? Это, как я понимаю, принтеры, сканеры, камеры и пр.

mky ★★★★★ ()
Ответ на: комментарий от mky

Есть шлюз с ubuntu 20.04, который и в интернет пускает, и адреса раздает. Может быть как-то на нем можно создать белый список мак адресов?

В целом хотелось бы, что бы в мою сеть не могли подключиться любые устройства, которые не в белом списке.

mafaka ()
Ответ на: комментарий от mafaka

В целом хотелось бы, что бы в мою сеть не могли подключиться любые устройства, которые не в белом списке.

Забудь. При заданных условиях это невозможно.

AS ★★★★★ ()

Коммутаторы не управляемые.

Физический доступ непонятно кого.

В связи с этим вопрос, как обезопасить себя от подключений чужих устройств?

От случайных? Организовать вокруг своих коммутаторов жестяную коробочку с ключиком.

От злонамеренных? Нет, от слова «совсем». Считай эту сеть публичной.

t184256 ★★★★★ ()
Ответ на: Ничего сделать нельзя от anonymous

Да таких полно. Вот, допустим, https://www.dlink.ru/ru/products/1/ там отдельный список даже есть: «Неуправляемые коммутаторы Fast Ethernet, монтируемые в 19» стойку". Плюс, раньше было много управляемых, но только по COM-порту, про который обычно не знали/не подключали.

mky ★★★★★ ()
Ответ на: комментарий от mky

@mky Спасибо за информацию для изучения. Гуглил решение и нашел ссылки на систему Suricata, это может быть решением моей проблемы?

@anonymous я не компьютерщик, я мамкин программист. Обычно чиню микроволновки, а тут мамина подруга попросила сеть посмотреть.

mafaka ()

Можно ли как-то организовать белый список мак адресов?

Можно разнести по разным IP-подсетям с непересекающейся адресацией:

  • для явно своих хостов
  • для явно чужих хостов
  • для хостов, чья принадлежность пока не понятна

Реализовать на dhcp-сервере или статической адресацией.

Harliff ★★★★★ ()
Ответ на: комментарий от mky

Ну в линуксе есть ebtables, и белый список мак адресов можно запилить с его помощью. Но это никак не помешает левым компам к сети обращаться к другим компам из этой сети, а также печатать на чужих принтерах и прочие безобразия.

Harald ★★★★★ ()
Ответ на: комментарий от mafaka

Если коммутаторы неуправляемые, то в пределах одного коммутатора ты ничего не сделаешь, ибо все устройства будут в одном широковещательном домене. И поэтому твои блокировки где-то там дальше не будут влиять на хождения трафика в пределах данного коммутатора. Только блокировка трафика в инет на шлюзе. Каким образом соединены коммутаторы со шлюзом?

anonymous ()

Фантастически-прикольный вариант. :) По удаленке в локальном компе понаставить на интерфейс IP вражеской сети. Начнется бардак в ихней сети. :)) А ты нипричем

Bootmen ★☆☆ ()
Последнее исправление: Bootmen (всего исправлений: 3)

Взять еще один неуправляемый свитч.
Раскинуть на сети.
Порастыкать в один своих, в другой чужих и между ними поставить роутер.
Если покувыркаться то им может быть тот linux через который ходит инет.
Если там не гигабит то на 100м свитч можно на свалке найти.
А своих найдешь просто. Все остальные - чужие.

hbars ★★★★★ ()
Последнее исправление: hbars (всего исправлений: 1)
Ответ на: комментарий от Nastishka

Свичи умеют искать auth сервер на всех портах? Или давать всем доступ, если radius-сервер не найден?

А то стойку передвинут, от сервера кабеля не хватит, вобще ничего не работает и это ОК?

mky ★★★★★ ()
Ответ на: комментарий от Bootmen

Ну тогда я не знаю что сказать.
Никак.

Дык афтор прямо сказал:

Быстро приехать в офис и найти чужие провода нет возможно

А ему и не нужно искать чужие. Пусть найдет свои. Сколько там тех портов в свитче то.
Просто видимо не сильно нужно.

hbars ★★★★★ ()
Ответ на: комментарий от mky

Какое нафиг «стойку передвинут»? Оборудование запрещено перемещать/отключать/подключать или любым другим способом обслуживать без соответствующего разрешения владельца оборудования.

Аутентификация она на то и нужна, чтобы не допустить непроверенных пользователей. И не важно по какой причине проверка не прошла. Либо у вас аутентификация либо кто попало шастает по сети, либо вы сношаетесь с криптографией - всякие вот эти VPN, ipsec и прочие.

Так что вы уж определитесь - или доступ только для проверенных клиентов и соответственно требования к доступности сервера аутентификации, либо у вас в сети будут ходить кто ни попадя.

Nastishka ★★★★★ ()
Ответ на: комментарий от Nastishka

Так что вы уж определитесь

Я? Мне то чего определятся. Это вы сначала пишите:

У них проблема в том что любой может прийти и воткнуть в любой порт любой провод

и создаётся ощущение, что вы читали стартовый пост и прониклись корнем проблемы ТС:

Недавно электрики ... Перенесли стойку с неуправляемыми коммутаторами и после переноса воткнули все провода, которые были около неё.

но потом продолжаете:

А то что ТС ищет называется 802.1X

Вот мне стало интерестно, как 802.1X поможет в случае, когда электрик перетыкает кабели в свичах как ему взбредёт в голову.

Запретить перемещать оборудование может только директор, а не сисадмин. Если сисадмин настроил сеть так, что от простого перетыкания кабелей она ломается и простаивает, то в глазах директора крайним может оказаться сисадмин, а не электрики :)

И ТС просил защиту для «другие устройства в сети», это обычно принтеры не умеющие в 802.1X...

mky ★★★★★ ()
Ответ на: комментарий от mky

Вот мне стало интерестно, как 802.1X поможет в случае, когда электрик перетыкает кабели в свичах как ему взбредёт в голову.

Для этого и был придумал стандарт 802.1X, чтобы при перетыкивании проводов (понятное дело, что кроме определенных портов), пользователю, после аутентификации и авторизации прилетал на порт нужный vlan.

А так да, контроль со стороны руководства тоже должен быть. Но если руководство недалёкое (отправляет электриков переносить шкафы с коммутаторами), то из такой конторы нужно валить.

Живём уже в третьем десятилетие 21 века, а уборщицы и электрики всё ещё в серверной.

anonymous ()