Um computador por conector de rede

Navegue suas respostas
1

Eu quero ter uma configuração na qual eu configurei um único endereço MAC para uma tomada de rede, apenas esse computador pode estar conectado a ela. Além disso, quero ter certeza de que não há como uma pessoa registrar o endereço MAC de um roteador e conectar vários PCs atrás do roteador em um NAT ou, pelo menos, ele deve ser detectável.

Eu sei que isso é de alguma forma possível, como isso foi feito na minha universidade. Alguém sabe como?

    
por Ankur Chauhan 25.11.2009 / 23:51

5 respostas

7

Você desejará usar o Cisco Port Security no comutador da camada de acesso. Ele permite que você defina o número máximo de endereços MAC em uma determinada porta, bem como, opcionalmente, defina os endereços MAC permitidos específicos nessa porta (embora o gerenciamento possa ficar fora de controle). Mais uma vez os endereços MAC são detectados, ou um endereço MAC diferente é trocado, a porta pode ser configurada para desligar-se.

Não sei como impedir que as pessoas conectem um roteador com capacidade para NAT, já que, neste caso, apenas um endereço MAC é exposto ao comutador da camada de acesso. A segurança da porta não será capaz de ajudar (a menos que você confie no fato de que trocar uma estação de trabalho pelo roteador causará uma alteração de endereço MAC, bloqueando a porta, mas isso não é perfeito como se o primeiro dispositivo a ser conectado o switch é o roteador, ele se torna o endereço MAC permitido)

Mais informações em link

    
por 25.11.2009 / 23:59
2

Não pode ser feito.

Eu pego uma máquina com um MAC registrado, e substituo por um roteador NAT que conto para usar as máquinas registradas MAC. Muitos roteadores de nível de consumidor (bem abaixo de US $ 100) podem fazer isso como padrão.

Além de analisar os números de sequência do TCP, não é possível saber se alguém fez isso.

Mas qualquer switch gerenciado deve ser capaz de bloquear portas para endereços MAC (ok, estou supondo).

    
por 26.11.2009 / 03:34
1

Você precisa de um switch que seja inteligente o suficiente para configurar essa limitação. Há muitos deles, mas não na classe mais barata.

Atualização:

Existem vários switches muito abaixo dos cisco-prices disponíveis com opções de segurança de porta. Encontrei o HP Procurve 2520 e superior, o Dell Powerconnect 5300 e superior e ainda mais barato, como o Linksys SRW2024, o D-Link DES-3252, etc.

Procure por "segurança de porta", "com base em MAC".

    
por 25.11.2009 / 23:58
0

Como alternativa, você pode usar um NAC se os usuários estiverem em algum tipo de LDAP. Dessa forma, os usuários podem se mover de porta em porta, mas pessoas de fora da sua organização não podem acessar. Não tenho certeza se essa é a situação que você está tentando evitar, mas a falsificação de endereço MAC é fácil, então seu exemplo pode ser adulterado com bastante facilidade. Cisco Clean Access e Bradford Networks NAC vêm à mente como os dois líderes nos NACs, mas são muito mais caros.

    
por 26.11.2009 / 01:24
0

Posso estar errado, mas ouvi falar de ISPs que monitoram valores de TTL para determinar se o dispositivo conectado diretamente originou o tráfego ou se veio de dispositivos por trás dele.

Não é perfeito, já que o TTL pode ser falsificado como qualquer outra coisa, mas pode valer a pena conferir.

    
por 26.11.2009 / 05:25

Tags

Processo de Controle de Origem do Repositório de Gits Como provar que o tráfego de DNS está sendo perdido