Você pode banir totalmente um PC da rede local?

4

Eu queria saber se é possível banir um PC da LAN ou WLAN totalmente ou não? Eu sei que a proibição de acordo com o endereço MAC é inútil, pois pode ser alterada.

P.S: suponha que nenhuma credencial seja necessária para conectar a LAN / WLAN.

    
por sterz 23.03.2011 / 21:36

6 respostas

5

É verdade que os clientes podem alterar seus endereços mac, tornando assim qualquer tipo de filtragem mais ou menos inútil.

Em LANs com fio, com o tipo certo de comutadores, você pode controlar com MACs a permissão de conectar de quais portas e limitar o número de MACs permitidos em uma porta. Isso pode ajudar, se os clientes estiverem sempre conectados e ligados, mas alguém com o conhecimento do que o MAC está em uma determinada máquina pode desconectar a caixa legítima e alterar seu endereço MAC para corresponder. Alguns switches podem ser configurados para bloquear uma porta se o link ficar inativo e exigir intervenção administrativa, mas isso não é muito adequado.

Então, esse é exatamente o tipo de coisa que o protocolo 802.1x pretendia ajudar. Em resumo, é necessário que um cliente apresente credenciais autenticadas antes do acesso à rede ser concedido. O artigo wikipedia tem uma boa descrição de como funciona.

Até onde eu sei, sem algum tipo de credenciais de acesso, o que você está tentando realizar não pode ser feito. O 802.1x, pelo menos, coloca a autenticação no nível da rede, em vez de permitir o acesso e, em seguida, bloquear o uso de recursos de rede por outros meios.

    
por 23.03.2011 / 22:14
3

Você está procurando algo chamado Network Access Control . Existem todos os tipos de maneiras de implementar o NAC de vários fornecedores. Além disso, em um ambiente apenas com Windows / principalmente, você pode implementar o isolamento de domínio e servidor (não que você possa Não realizar uma coisa semelhante em um ambiente * nix, mas é quase mais dor do que vale a pena). Com o isolamento de domínio e servidor enquanto você não está impedindo qualquer acesso à rede per se, você está impedindo o acesso a qualquer um dos servidores e estações de trabalho, e se for uma máquina sua, você pode controlar quais servidores e estações de trabalho / workstation pode conversar.

    
por 23.03.2011 / 22:11
2

Se o acesso físico a uma rede (via hardwire ou airwaves) for possível, então sempre assuma que a máquina pode participar no nível de transporte. O que ela pode fazer além disso é com o que você realmente deveria se preocupar e onde deveria estar se concentrando nos esforços de segurança.

    
por 23.03.2011 / 22:03
1

Dependendo do tamanho da sua rede e do tipo de hardware da camada 2 que você possui, você pode permitir somente os endereços mac que você deseja.

    
por 23.03.2011 / 21:52
1

Como o PC está se conectando? sem fio? com fio? É um PC que alguém traz para trabalhar como um empregado usando seu próprio laptop. Nesse caso, você pode adotar medidas legais ou de segurança interna (principalmente se o funcionário alterar seu endereço MAC para se conectar e invadir uma restrição de endereço MAC da lista de desbloqueio).

Se é uma pessoa externa invadindo a rede como um neighboor usando seu wifi, eu acho que o melhor é nunca deixar uma conexão wifi não protegida por senha e criptografada.

Se for um acesso VPN ... se você usar um vpn com certificados como o openvpn e se ele tiver um, você pode bani-lo usando a opção crl.

As soluções podem ser diferentes para cada caso e não apenas relacionadas à rede ou ao servidor.

Agora, se é o seu CEO usando seu próprio laptop cheio de vírus ... boa sorte;) mas você pode se oferecer para limpar a coisa, talvez:)

    
por 23.03.2011 / 22:47
-1

Eu esqueço onde eu li isso antes - mas se você tem um servidor DHCP, basicamente você pode permitir isso em sua rede como uma reserva para aquela máquina específica, no entanto, dar 0.0.0.0 para DNS, etc. Essa é a única maneira Eu encontrei como proibir uma máquina de conexão à minha rede sem fio antes.

    
por 23.03.2011 / 21:44