Como garantir que os clientes usem somente o IP atribuído via DHCP

Navegue suas respostas
2

Queremos limitar o uso da Internet dos usuários diariamente, mas não a largura de banda da rede local. Nossos usuários estão em plataformas diferentes (Windows, Android, IOS), portanto, não é possível forçar nenhuma política, por exemplo, Active Directory, e se fosse possível, limitaria toda a largura de banda. A única maneira que resta é fazer a limitação em uma base de IP na borda da rede. Isso é possível usando o Mikrotik ou outros firewalls. Mas o problema é que os usuários podem alterar seus IPs quando o limite é atingido e podem continuar usando a largura de banda da Internet. Então, a ideia era garantir que os usuários só pudessem passar quando o endereço MAC e o IP atribuído por meio da correspondência do nosso servidor DHCP. Isso deve ser possível em switches cisco e pode ser feito no switch central. Acho que li alguma coisa sobre a conexão entre os switches Cisco e o servidor DHCP.

A pergunta é como isso é possível ou existe alguma outra solução que possa ser mais fácil e eficiente?

Usamos APs, switches Cisco 2960 e um Cisco 4500 como switch central. Nosso DHCP é o FreeBSD, mas estamos dispostos a mudar, se necessário. O método de autenticação para nossos APs é 802.1x.

EDITAR:

Nós tentamos uma solução usando o servidor RADIUS que nos deu a possibilidade de saber quanto tráfego foi usado por cada usuário (através da porta 1812/1813), mas o problema era que a única maneira de limitar o usuário é não permitir que ele conectar quando seu limite foi atingido. Isso significa que, até o usuário não se reconectar, ele poderá fazer o download sem qualquer restrição.

Também pensamos em um servidor proxy como uma solução, mas tivemos dois problemas:

  1. Tivemos problemas de desempenho com o squid e instalamos o squid, pois um proxy transparente é muito trabalhoso.
  2. Outros proxies também tiveram problemas de desempenho e os que tiveram um bom desempenho não tiveram o recurso para ser usado como um proxy transparente.
por MiM 14.10.2014 / 12:44

2 respostas

6

É melhor fazer isso na camada 7 em relação à camada 2 ou 3.

Os dispositivos podem ter seu MAC alterado, bem como seu endereço IP. (É mais difícil para um usuário alterar seu MAC, mas ainda é possível.) Se você tem pessoas mudando endereços IP para contornar restrições, é apenas uma questão de tempo até que elas também estejam alterando endereços MAC.

Existem algumas soluções que posso pensar em cima da minha cabeça.

  • Um portal cativo que exige que o usuário se autentique usando uma credencial por usuário (por exemplo, RADIUS de volta ao seu Active Directory) daria a você uma responsabilidade por usuário. Existe uma variedade de produtos por aí, tanto comerciais quanto gratuitos / abertos que podem fazer isso.

  • Força os usuários a se conectarem a uma VPN usando uma credencial por usuário para obter acesso além da sub-rede sem fio.

Ambos os métodos não exigem uma referência cruzada tediosa de IP para MAC e podem ser redimensionados facilmente quando você adiciona novos usuários / dispositivos.

    
por 14.10.2014 / 17:06
0

Você pode usar ebtables para filtrar pacotes por endereço MAC com IP incorreto, como: 

ebtables -N USER
ebtables -A FORWARD -p ip -i eth0 -j USER
ebtables -P USER DROP
ebtables -A USER -p ip --ip-src 192.168.0.52 -s 00:52:2c:be:ac:2a -j ACCEPT
ebtables -A USER -p ip --ip-src 192.168.0.23 -s 01:51:2d:be:pc:1b -j ACCEPT

Aqui permitimos que o usuário com MAC 00:52:2c:be:ac:2a use apenas o IP 192.168.0.52 e o mesmo para outros. Mas, tanto quanto sei iOS (e outros eu acho) telefones redefina o endereço MAC em todas as conexões por motivos de segurança, impossibilitando o rastreamento da migração de dispositivos de um ponto de acesso Wi-Fi para outro. Portanto, não é 100% correto confiar no endereço MAC.

Outra maneira de resolver este problema é talvez introduzir o L2TP e permitir o tráfego da Internet apenas sobre ele. Você dará a cada usuário um par de usuário / senha e atribuirá IPs estáticos. Então você poderá monitorar o tráfego por IP.

    
por 14.10.2014 / 14:03

Tags

Como sobrescrever o comando “get-childItem” no Powershell? Não é possível enrolar. curvatura: (7) Falha ao conectar… Conexão recusada [fechada]