Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ochrona gniazd RJ45 przed nieautoryzowanym dostępem

12 Paź 2017 11:36 678 10
  • Poziom 4  
    Witam,
    mam problem odnośnie ochrony mojej sieci LAN.

    Problem odnosi się do zabezpieczenia sieci przed komputerami z zewnątrz, które można podpiąć do gniazd RJ45 w budynku.
    Myślałem o użyciu filtrowania adresów MAC na serwerze DHCP, ale pojawił się problem, ponieważ sieć WiFi udostępniona dla gości zaciąga adresy z tego samego serwera DHCP. Gdy ustawie filtrację MAC to będę musiał ręcznie wklepywać adresy gości, żeby otrzymali oni adres IP.

    Myślałem o blokadzie na switchu ale mam koło 100 komputerów, 20 drukarek i przypasować który MAC do którego portu do dużo zabawy, a problem pojawia się kolejny, bo w niektórych miejscach użyte są małe pośredniczące switche i wtedy na porcie w switchu głownym jest z 10 MACów.

    Serwer DHCP mam zainstalowany na Windows Serwer 2008 R2.
    Switche mam Cisco WS-C2960X-48TS-L-RF
  • Poziom 39  
    Jeżeli problemem przy filtracji mac jest tylko WiFi to może na WiFi wrzuć jakiś router i adresy dla gości on da a LAN będzie filtrowany na mac.
  • Poziom 4  
    Mam WLC zamontowanego do kontroli 3 AP-ków.
    Na WLC mam ustawione 3 profile sieciowe:
    gości
    urządzenia PDA
    komputery

    Wszystkie profile zaciągają adresy z DHCP na WIN 2008. Czy mogę jakoś zmienić, żeby tylko ta jedna podsieć miała adresy z serwera DHCP wbudowanego w WLC(zasłużmy)?
  • Poziom 43  
  • Poziom 4  
    Ale ja mam serwer DHCP na windowsie i tam jest tylko filtracja ogolnie MAC mających dostęp do serwera.

    Dodano po 18 [godziny] 59 [minuty]:

    Ok, pierwszą cześć zrobiłem. Dla gości serwer DHCP jest na WLC.
    Ale teraz pozostał jeden mały problem, chyba który można rozwiązać chyba tylko przez filtrację MAC na switchu.
    Jak wpisze sobie statyczny adres to bez problemu podłączy się do sieci.
  • Poziom 32  
    A nie możesz tego ogarnąc VLANami? Vlan dla firmy i gosci na switchach odpalasz port security i uczysz switche, że na danych portach mają być dostępne konkretne MAC, jak pojawi się na porcie coś świeżego to port się kładzie i wymaga interwencji administratora. WiFi rozdaje gościom sieć z innej adresacji i innego VLANu przez co separujesz gości od firmy
  • Poziom 4  
    Myślałem o tym, tylko się zastanawiam, ile może być przypisanych maxymalnie MAC na jednym porcie?
  • Poziom 32  
    Szybki google
    Dokumentacja Cisco

    Code:

    Switch(config-if)# switchport port-security  maximum [b]value[/b]
    (Optional) Sets the maximum number of secure MAC addresses for the interface. The range is 1 to 3072; the default is 1.
  • Poziom 31  
    Filtrowanie MAC jest dość prymitywne i nie za bardzo podnosi bezpieczeństwo, ale lepsze niż nic. Lepszym rozwiązaniem byłoby wdrożenie 802.1X.

    Pozdr!
  • Poziom 31  
    wojtek915 napisał:
    które można podpiąć do gniazd RJ45 w budynku.

    Czy tych zbędnych gniazd ( do których się wpinają ) nie można po prostu odciąć lub zdemontować ? Czy są jednak używane w firmie lecz sporadycznie .
  • Poziom 4  
    Sporadycznie są, np w sali konferencyjnej