Il giorno 14/dic/08, alle ore 01:49, caio ha scritto:
Salve a tutti, avrei bisogno di un consiglio per l'ambito controllo degli accessi in LAN: volendo consentire l'accesso alla rete solo a determinati client, ed avendo a disposizione un HP procurve 2600 che gestisce il traffico interno di rete proveniente da client collegati direttamente ad esso, quale potrebbe essere la soluzione migliore?
Il fatto che tu dica in seguito "al massimo 8 client" mi fa supporre che i client non siano collegati direttamente al ProCurve 2600, ma che ci sia qualche altro dispositivo in mezzo. È chiaro che se hai uno switch unmanaged tra un gruppo di client ed il ProCurve, allora quei client potranno parlare comunque liberamente tra di loro e nulla impedirà che un client B non autorizzato configuri il MAC address di un client A autorizzato e acceda tranquillamente.
Potresti usare 802.1x per tutte le porte e configurare un server Radius per accettare certi MAC address indipendentemente dalle credenziali di autenticazione, ma non con il 2600. Se capisco bene, il 2600 gestisce solo l'autenticazione port-based e non quella client- based (come i 2510), quindi una volta che un client si è fatto autenticare ed autorizzare, tutti i client collegati alla stessa porta sono liberi di usarla, senza dover fare nessun MAC spoofing. Nota che anche i dispositivi con autenticazione client-based hanno dei limiti sul numero di client che possono autenticarsi su ciascuna singola porta.
Con un altro switch, quindi, potresti usare 802.1x + Radius, configurando il server Radius perché autorizzi alcuni MAC address senza alcun ulteriore protocollo di autenticazione. Non so se si possa anche evitare, su certi SO, la comparsa di una interfaccia utente che chieda le credenziali, o se si debba comunque accettarla (e dire agli utenti che lascino vuota la maschera e vadano avanti).
Un'altra soluzione sarebbe qualcosa come un captive portal, ad es. CoovaChilli, ma risolverebbe solo il problema dell'accesso oltre il punto controllato, non il problema dell'accesso alla LAN!
Ciao, -- Emanuele________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
