Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Il 21/04/2012 22:48, dea ha scritto:
>
> Giovanni, ho letto con interesse la tua risposta !
>
> Purtroppo uno dei requisiti da soddisfare è quello di introdurre meno
> disservizio possibile in una rete con 160 client e, naturalmente, evitare di
> toccare i client uno per uno.
be questo sarebbe il problema toccare i client, ma lo puoi fare poco per
volta.
Infatti non ti ho parlato di 802.1x o simili, ma PPPOE o simili.
Quindi finchè non hai fatto la migrazione dei client funziona anche la
rete normale poi appena hai fatto la migrazione lasci attiva solo la
rete pppoe...
Nella fase migrazione avrei un po traffico in piu' sul gateway e qualche
rallentamento. Ma a regime avrai che solo gli utenti abilitati ( che sia
MAC o username/password o certificato poco cambia) potranno accedere
alla rete ed un eventuale esterno avrà anche poche informazioni per
capire la tipologia della rete.
>
> La mia idea era quella di collocare un firewall trasparente prima del gateway
> (non importa cosa ci sia nel mezzo, il MAC source viene ricevuto dato che non
> ci sono hop nel mezzo), poi con ebtables posso gestire una tabella di MAC.
sinceramente non ho mai usato ebtables, cosi profondamente non saprei
cosa dire. Pero ti porto un esempio ho un server che attivo 24 ore sulla
rete pero spesso nella tabella di arp del mio firewall ( linux/debian
6.0) non risulta il mac di questo server. E vero che il server accede
poco o niente risorse che non siano in rete locale.
Come si comporta una ebtables in questo caso ?
>
> Se voglio interdire un MAC perchè non riconosciuto, l'idea era quella di
> scriptare via telnet o ssh verso gli switch foglia e bloccare direttamente il
> MAC non valido, inoltre per sapere su quale porta e su quale switch è
> collegata la macchina con MAC non valido, si può richiedere sempre via telnet
> o ssh sui medesimi switch, basta automatizzare la funzione con qualche comando
> ed il firewall potrebbe occuparsi di tutto.
teoricamente bello e facile... pero ti porto un esempio pratico.
Ho avuto un problema con un scheda di rete di un dispositivo di
registrazione dati, il difetto era che sia era rovinata la eproom dove
e' memorizzato MAC per cui di tanto in tanto dava un mac errato. ed il
sw non mi da la possibilità di leggere il mac della scheda dal dispositivo.
pero dovevo gestire autorizzazione al collegamento... noi abbiamo un
controllo sul mac a livello di porta (sistema usato solo per rispetto di
una protocollo operativo, altrimenti sarebbe un sistema
sovradimensionato per un totale di 33 schede di rete presenti)
In ufficio abbiamo 2 switch a 48 porte entrambi cisco. uno un vero
switch cisco ( usato per la rete) altro un ex linksys ( usato per
collegare questi dispositivi di acquisizione), sono entrambi nuovi (
meno di anno) su uno se modifico la tabella dei MAC source per porta non
devo fare niente sul altro devo fare il reboot dello stesso per fargli
leggere la tabella valida in poco tempo e sbloccare il MAC. Quindi ogni
volta che collegavo il dispositivo in oggetto, dovevo leggere il mac
sulla porta autorizzarlo e quindi fare il reboot dello stesso.... è vero
che nel mio caso lo switch era usato solo per questo scopo quindi non
era un problema.. ma nel tuo caso ?
il reboot è il sistema più veloce ( che ho trovato) per sbloccare il mac
bloccato per violazione dello stesso che nel caso del mio switch linksys
è di 10min..
Nel tuo caso cosa succederebbe ?
Ovviamente se autorizzavo il mac prima del collegamento e porta
scollegata il tutto era trasparente.
>
> Il ragionamento sembra sensato o presenta problemi che non vedo ?
>
> Grazie
>
> Luca
>
>
Reply to: