Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Giovanni, ho letto con interesse la tua risposta !
Purtroppo uno dei requisiti da soddisfare è quello di introdurre meno
disservizio possibile in una rete con 160 client e, naturalmente, evitare di
toccare i client uno per uno.
Utilizzare autenticazione sui client (per esempio usando 802.1x) per
permettere di utilizzare il link di rete si scontra con il fatto che l'utente
ha un login valido ma la macchina che usa potrebbe non esserla, è la macchina
che va autenticata, non l'utente.
So che il MAC non offre una buona sicurezza perchè può essere cambiato con
facilità... ma al momento non mi viene in mente altro.
La mia idea era quella di collocare un firewall trasparente prima del gateway
(non importa cosa ci sia nel mezzo, il MAC source viene ricevuto dato che non
ci sono hop nel mezzo), poi con ebtables posso gestire una tabella di MAC.
Se voglio interdire un MAC perchè non riconosciuto, l'idea era quella di
scriptare via telnet o ssh verso gli switch foglia e bloccare direttamente il
MAC non valido, inoltre per sapere su quale porta e su quale switch è
collegata la macchina con MAC non valido, si può richiedere sempre via telnet
o ssh sui medesimi switch, basta automatizzare la funzione con qualche comando
ed il firewall potrebbe occuparsi di tutto.
Il ragionamento sembra sensato o presenta problemi che non vedo ?
Grazie
Luca
Reply to: