R: [OT] Autenticazione LAN a livello di porta (RJ-45)

To: debian-italian@lists.debian.org
Subject: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
From: "Francesco Zanolin" <francesco.zanolin@ingv.it>
Date: Fri, 20 Apr 2012 17:31:01 +0000
Message-id: <[🔎] 1494235456-1334943061-cardhu_decombobulator_blackberry.rim.net-1379495997-@b26.c4.bise7.blackberry>
Reply-to: francesco.zanolin@ingv.it
In-reply-to: <[🔎] 20120420165345.M49028@corep.it>
References: <[🔎] 20120412221047.53b61f61@zihuatanejo.casa.lan> <[🔎] 20120412224934.45cd1d02@zihuatanejo.casa.lan> <[🔎] 20120413044317.M21977@corep.it> <[🔎] 49484.151.32.165.108.1334305161.squirrel@mail.dm.unipi.it> <[🔎] 81eca48d14ce365f654edbb7473a8f72@autistici.org> <[🔎] ece5bdf13c466434df0285fae056b37e@autistici.org> <4F8DA797.1060108@gmail.com> <[🔎] 66575a74d7f98dcc8654b4732cd07a42@autistici.org> <[🔎] CAHKYmevjt5WtJB23a=aYfLfBkp_BhgiU5Nab6_Lb9aPP9+n1Ew@mail.gmail.com> <[🔎] 49e8b83c5bbdd59ca570621e941bda72@autistici.org> <[🔎] 62bc221bfd4f30d0fa93ea5c56a2f9ca@autistici.org> <[🔎] 20120420073824.M4077@corep.it> <[🔎] 83ecbe6f6fc729f8ec39bebb7c993ed8@autistici.org> <[🔎] 20120420112726.M65507@corep.it> <[🔎] 71040863f8494e31251e6eb7012e743d@autistici.org> <[🔎] 20120420165345.M49028@corep.it>

Ciao,

Alcuni switch (hp, cisco per esempio) hanno anche il port lockout legato al mac che permette di bloccare una porta temporaneamente o in modo definitivo (fino a sblocco dell'admin) in caso sulla porta vengano registrati n mac address diversi in un certo tempo.

Un tempo veniva usato nel mio posto di lavoro dal precedente net admin per impedire l'installazione di hub e bloccare l'uso delle porte da parte dei visitatori.

Esempio: io ho una porta per il fisso e una per il portatile impostate ciascuna per accettare un solo mac address, se su quella del portatile viene attaccato un device con mac diverso la porta si blocca. La cosa è basata su una tabella che registra ogni mac collegato alla porta quando la tabella è piena la porta si blocca.

Francesco
-- 
Francesco Zanolin

Istituto Nazionale di Geofisica e Vulcanologia
Centro Nazionale Terremoti
Servizi Informatici E Reti
Via di Vigna Murata 605
00143 Roma Italy


cell. 3346418320
tel: 0651860346  fax. 0651860541
e-mail: francesco.zanolin@ingv.it

-----Original Message-----
From: "dea" <dea@corep.it>
Date: Fri, 20 Apr 2012 19:02:58 
To: <debian-italian@lists.debian.org>
Subject: [OT] Autenticazione LAN a livello di porta (RJ-45)

Una buona serata a tutta la lista !

Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche
soluzione, ma volevo chiedere consiglio a voi per identificare la migliore.

Quesito:

Data una rete cablata con n macchine, non si vuole che staccato un cavo si
possa collegare una macchina diversa, anche se chi lo fa è dotato di login e
password validi (per esempio un portatile è validato, uno no).
Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non
si vuole tagliare semplicemente sul gateway.

Una soluzione potrebbe essere quella di implementare 802.1x, ma con
autenticazione a livello di MAC.
Il mio pensiero è quello che, se non si installa software sui client è meglio,
quindi bisogna lavorare di switch ed eventualmente con un server radius di
appoggio (devo ancora vedere che switch hanno).

Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un
firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC
non in lista ed in tal caso vada in allarme (segnalando via mail il problema).

E' anche vero che un portatile può usare più spinotti di rete, quindi la
gestione deve essere adattabile.

C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione
migliore.

Grazie

Luca





-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
debian-italian-REQUEST@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listmaster@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 20120420165345.M49028@corep.it">http://lists.debian.org/[🔎] 20120420165345.M49028@corep.it

Reply to:

Follow-Ups:
- Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
  - From: "dea" <dea@corep.it>

References:
- Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- Re: Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- Re: Oops e apt-get segfault
  - From: "dea" <dea@corep.it>
- Re: Oops e apt-get segfault
  - From: bodrato@mail.dm.unipi.it
- Re: Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- Re: Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- Re: Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- Re: Oops e apt-get segfault
  - From: Mattia Rizzolo <mapreri@gmail.com>
- Re: Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- Re: Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- Re: Oops e apt-get segfault
  - From: "dea" <dea@corep.it>
- Re: Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- Re: Oops e apt-get segfault
  - From: "dea" <dea@corep.it>
- Re: Oops e apt-get segfault
  - From: Luca Sighinolfi <lsighinolfi@autistici.org>
- [OT] Autenticazione LAN a livello di porta (RJ-45)
  - From: "dea" <dea@corep.it>

Prev by Date: [OT] Autenticazione LAN a livello di porta (RJ-45)
Next by Date: Comunicazione ConfSL
Previous by thread: [OT] Autenticazione LAN a livello di porta (RJ-45)
Next by thread: Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
Index(es):
- Date
- Thread