Неуправляемые коммутаторы, самостоятельные электрики, удалённый админ — это просто какой-то гальванизированный неуправляемый офис :)

Где вы хотите прописывать белый список mac-адресов, если речь идёт не о компах в домене, а про «другие устройства в сети»? Это, как я понимаю, принтеры, сканеры, камеры и пр.

Есть шлюз с ubuntu 20.04, который и в интернет пускает, и адреса раздает. Может быть как-то на нем можно создать белый список мак адресов?

В целом хотелось бы, что бы в мою сеть не могли подключиться любые устройства, которые не в белом списке.

В целом хотелось бы, что бы в мою сеть не могли подключиться любые устройства, которые не в белом списке.

Забудь. При заданных условиях это невозможно.

Коммутаторы не управляемые.

Физический доступ непонятно кого.

В связи с этим вопрос, как обезопасить себя от подключений чужих устройств?

От случайных? Организовать вокруг своих коммутаторов жестяную коробочку с ключиком.

От злонамеренных? Нет, от слова «совсем». Считай эту сеть публичной.

электрики

а ты чьих будешь - копьютерщик что ли?

Ничего сделать нельзя

Но все-таки, где вы вообще нашли неуправляемый стоечный свитч?

Не знаю насколько это рабочий вариант в современных реалиях, насколько законно устраивать ARP spoofing. Но было такое: https://nag.ru/articles/article/16988/upravlyaem-neupravlyaemyim.html

Да таких полно. Вот, допустим, https://www.dlink.ru/ru/products/1/ там отдельный список даже есть: «Неуправляемые коммутаторы Fast Ethernet, монтируемые в 19» стойку". Плюс, раньше было много управляемых, но только по COM-порту, про который обычно не знали/не подключали.

mky Спасибо за информацию для изучения. Гуглил решение и нашел ссылки на систему Suricata, это может быть решением моей проблемы?

anonymous я не компьютерщик, я мамкин программист. Обычно чиню микроволновки, а тут мамина подруга попросила сеть посмотреть.

Фигнёй не страдайте. Купите управляемые свичи и наделайте на них vlan’ы.

У них проблема в том что любой может прийти и воткнуть в любой порт любой провод и никакие VLAN тут не помогут.

А то что ТС ищет называется 802.1X

Можно ли как-то организовать белый список мак адресов?

Можно разнести по разным IP-подсетям с непересекающейся адресацией:

• для явно своих хостов
• для явно чужих хостов
• для хостов, чья принадлежность пока не понятна

Реализовать на dhcp-сервере или статической адресацией.

как обезопасить себя от подключений чужих устройств?

А что именно (какие ресурсы) вы собрались защищать?

Ну в линуксе есть ebtables, и белый список мак адресов можно запилить с его помощью. Но это никак не помешает левым компам к сети обращаться к другим компам из этой сети, а также печатать на чужих принтерах и прочие безобразия.

hop limit

Если коммутаторы неуправляемые, то в пределах одного коммутатора ты ничего не сделаешь, ибо все устройства будут в одном широковещательном домене. И поэтому твои блокировки где-то там дальше не будут влиять на хождения трафика в пределах данного коммутатора. Только блокировка трафика в инет на шлюзе. Каким образом соединены коммутаторы со шлюзом?

Без управляемых коммутаторов этого не сделать.

Фантастически-прикольный вариант. :) По удаленке в локальном компе понаставить на интерфейс IP вражеской сети. Начнется бардак в ихней сети. :)) А ты нипричем

Взять еще один неуправляемый свитч.
Раскинуть на сети.
Порастыкать в один своих, в другой чужих и между ними поставить роутер.
Если покувыркаться то им может быть тот linux через который ходит инет.
Если там не гигабит то на 100м свитч можно на свалке найти.
А своих найдешь просто. Все остальные - чужие.

Дык афтор прямо сказал:

Быстро приехать в офис и найти чужие провода нет возможно

Свичи умеют искать auth сервер на всех портах? Или давать всем доступ, если radius-сервер не найден?

А то стойку передвинут, от сервера кабеля не хватит, вобще ничего не работает и это ОК?

Suricata должна вставать в разрыв трафика, вам не подходит.

Ну тогда я не знаю что сказать.
Никак.

Дык афтор прямо сказал:

Быстро приехать в офис и найти чужие провода нет возможно

А ему и не нужно искать чужие. Пусть найдет свои. Сколько там тех портов в свитче то.
Просто видимо не сильно нужно.

Какое нафиг «стойку передвинут»? Оборудование запрещено перемещать/отключать/подключать или любым другим способом обслуживать без соответствующего разрешения владельца оборудования.

Аутентификация она на то и нужна, чтобы не допустить непроверенных пользователей. И не важно по какой причине проверка не прошла. Либо у вас аутентификация либо кто попало шастает по сети, либо вы сношаетесь с криптографией - всякие вот эти VPN, ipsec и прочие.

Так что вы уж определитесь - или доступ только для проверенных клиентов и соответственно требования к доступности сервера аутентификации, либо у вас в сети будут ходить кто ни попадя.

Так что вы уж определитесь

Я? Мне то чего определятся. Это вы сначала пишите:

У них проблема в том что любой может прийти и воткнуть в любой порт любой провод

и создаётся ощущение, что вы читали стартовый пост и прониклись корнем проблемы ТС:

Недавно электрики ... Перенесли стойку с неуправляемыми коммутаторами и после переноса воткнули все провода, которые были около неё.

но потом продолжаете:

А то что ТС ищет называется 802.1X

Вот мне стало интерестно, как 802.1X поможет в случае, когда электрик перетыкает кабели в свичах как ему взбредёт в голову.

Запретить перемещать оборудование может только директор, а не сисадмин. Если сисадмин настроил сеть так, что от простого перетыкания кабелей она ломается и простаивает, то в глазах директора крайним может оказаться сисадмин, а не электрики :)

И ТС просил защиту для «другие устройства в сети», это обычно принтеры не умеющие в 802.1X...

принтеры не умеющие в 802.1X

две сети можно

запрещено без соответствующего разрешения

ахтунг любители стойку шатать

Защитите локальную сеть уборкой проводов, идущих к арендаторам.

Спасибо всем за ответы. Не ожидал, что так бурно будет.

Вот мне стало интерестно, как 802.1X поможет в случае, когда электрик перетыкает кабели в свичах как ему взбредёт в голову.

Для этого и был придумал стандарт 802.1X, чтобы при перетыкивании проводов (понятное дело, что кроме определенных портов), пользователю, после аутентификации и авторизации прилетал на порт нужный vlan.

А так да, контроль со стороны руководства тоже должен быть. Но если руководство недалёкое (отправляет электриков переносить шкафы с коммутаторами), то из такой конторы нужно валить.

Живём уже в третьем десятилетие 21 века, а уборщицы и электрики всё ещё в серверной.

На серверных шкафах висят таблички- Не влезай убьет! Остались от советских времен. Уборщицы и проч. обходят стороной.:)