On 3/29/06, Claudio Bustos Bravo <[EMAIL PROTECTED]> wrote: > El mié, 29-03-2006 a las 19:43 -0400, Miguel Angel Amador L escribió: > > 801.1x, autenticacion de MAC ADDRESS via EAP contra un servidor > > Radius ?, > > Cuando se involucran las mac address, me preocupo por la posible > clonacion...
Por eso se autenticaa ... no solo valida que no te clonen la MAC, si no tambien autentica la MAC, cosa que cuando conectas el cable de red y el switch recibe el link, manda una peticion de autenticacion EAP, que la MAC debe contestar, si no lo hace adecuadamente, puedes enviar esa puerta a una VLAN de cuarentena,por decir algo, o por ejemplo si no tienes el antivirus actualizado, podrias mandar a actualizar el antivirus del equipo en cuestion, antes que se conecte a la red... (para eso requieres un policy server )(NAC en caso de cisco , NAP en el de MS$, aun no se si este esta disponible, NAC si). o lo colocas en una VLAN de Visitas... ahora si esa MAC autentica positivamente, entonces el switch la deja entrar a la VLAN que le corresponde. 802.1x evita que el pase los filtros de clonado de MAC, y puedes usar tajetas inteligentes u otro tipo de autenticacion segura, el problema es que es demasiado caro tener esta infraestructura. > > > los Switchs Cisco Catalyst 2960 lo soportan, si algun > > intruso conecta su equipo contra un punto de red y este no esta > > autorizado, el switch no lo dejara ver el resto de la red a menos que > > la autenticacion sea valida. > > Al medio de esta red hay un router 3com 7700 que tiene muchas gracias, > pero un pc que se conecte en una de las 16 subredes podria accesar > servicios locales a la esa subred. Quiero ir mas alla e imposibilitar > que la red funcione si no soy un pc/usuario autorizado. Para eso tu Switch deberia poder autenticar bajo 802.1x, si no... :-( > > aparte de eso vienen con algunas extenciones de seguridad contra DHCP > > Snooping, ARP Spoofing/Poisoning, etc... > > > > Basicamente tu switch debe autenticar las MAC ADDRESS que se conecten > > a el a traves de 802.1x > > Salu2 -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ] [ http://www.fotolog.net/kush ]