Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Ho capito Giovanni, ci sono troppe variabili in gioco. Inizio ad analizzare gli apparati che ha il cliente e poi cerco di capire cosa sia meglio. L'idea del PPPoE si aggiunge alla lista delle soluzioni, grazie :) CIAO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120422090233.m77...@corep.it
Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Il 21/04/2012 22:48, dea ha scritto: > > Giovanni, ho letto con interesse la tua risposta ! > > Purtroppo uno dei requisiti da soddisfare è quello di introdurre meno > disservizio possibile in una rete con 160 client e, naturalmente, evitare di > toccare i client uno per uno. be questo sarebbe il problema toccare i client, ma lo puoi fare poco per volta. Infatti non ti ho parlato di 802.1x o simili, ma PPPOE o simili. Quindi finchè non hai fatto la migrazione dei client funziona anche la rete normale poi appena hai fatto la migrazione lasci attiva solo la rete pppoe... Nella fase migrazione avrei un po traffico in piu' sul gateway e qualche rallentamento. Ma a regime avrai che solo gli utenti abilitati ( che sia MAC o username/password o certificato poco cambia) potranno accedere alla rete ed un eventuale esterno avrà anche poche informazioni per capire la tipologia della rete. > > La mia idea era quella di collocare un firewall trasparente prima del gateway > (non importa cosa ci sia nel mezzo, il MAC source viene ricevuto dato che non > ci sono hop nel mezzo), poi con ebtables posso gestire una tabella di MAC. sinceramente non ho mai usato ebtables, cosi profondamente non saprei cosa dire. Pero ti porto un esempio ho un server che attivo 24 ore sulla rete pero spesso nella tabella di arp del mio firewall ( linux/debian 6.0) non risulta il mac di questo server. E vero che il server accede poco o niente risorse che non siano in rete locale. Come si comporta una ebtables in questo caso ? > > Se voglio interdire un MAC perchè non riconosciuto, l'idea era quella di > scriptare via telnet o ssh verso gli switch foglia e bloccare direttamente il > MAC non valido, inoltre per sapere su quale porta e su quale switch è > collegata la macchina con MAC non valido, si può richiedere sempre via telnet > o ssh sui medesimi switch, basta automatizzare la funzione con qualche comando > ed il firewall potrebbe occuparsi di tutto. teoricamente bello e facile... pero ti porto un esempio pratico. Ho avuto un problema con un scheda di rete di un dispositivo di registrazione dati, il difetto era che sia era rovinata la eproom dove e' memorizzato MAC per cui di tanto in tanto dava un mac errato. ed il sw non mi da la possibilità di leggere il mac della scheda dal dispositivo. pero dovevo gestire autorizzazione al collegamento... noi abbiamo un controllo sul mac a livello di porta (sistema usato solo per rispetto di una protocollo operativo, altrimenti sarebbe un sistema sovradimensionato per un totale di 33 schede di rete presenti) In ufficio abbiamo 2 switch a 48 porte entrambi cisco. uno un vero switch cisco ( usato per la rete) altro un ex linksys ( usato per collegare questi dispositivi di acquisizione), sono entrambi nuovi ( meno di anno) su uno se modifico la tabella dei MAC source per porta non devo fare niente sul altro devo fare il reboot dello stesso per fargli leggere la tabella valida in poco tempo e sbloccare il MAC. Quindi ogni volta che collegavo il dispositivo in oggetto, dovevo leggere il mac sulla porta autorizzarlo e quindi fare il reboot dello stesso è vero che nel mio caso lo switch era usato solo per questo scopo quindi non era un problema.. ma nel tuo caso ? il reboot è il sistema più veloce ( che ho trovato) per sbloccare il mac bloccato per violazione dello stesso che nel caso del mio switch linksys è di 10min.. Nel tuo caso cosa succederebbe ? Ovviamente se autorizzavo il mac prima del collegamento e porta scollegata il tutto era trasparente. > > Il ragionamento sembra sensato o presenta problemi che non vedo ? > > Grazie > > Luca > > -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f93c7ce.6080...@gmail.com
Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Giovanni, ho letto con interesse la tua risposta ! Purtroppo uno dei requisiti da soddisfare è quello di introdurre meno disservizio possibile in una rete con 160 client e, naturalmente, evitare di toccare i client uno per uno. Utilizzare autenticazione sui client (per esempio usando 802.1x) per permettere di utilizzare il link di rete si scontra con il fatto che l'utente ha un login valido ma la macchina che usa potrebbe non esserla, è la macchina che va autenticata, non l'utente. So che il MAC non offre una buona sicurezza perchè può essere cambiato con facilità... ma al momento non mi viene in mente altro. La mia idea era quella di collocare un firewall trasparente prima del gateway (non importa cosa ci sia nel mezzo, il MAC source viene ricevuto dato che non ci sono hop nel mezzo), poi con ebtables posso gestire una tabella di MAC. Se voglio interdire un MAC perchè non riconosciuto, l'idea era quella di scriptare via telnet o ssh verso gli switch foglia e bloccare direttamente il MAC non valido, inoltre per sapere su quale porta e su quale switch è collegata la macchina con MAC non valido, si può richiedere sempre via telnet o ssh sui medesimi switch, basta automatizzare la funzione con qualche comando ed il firewall potrebbe occuparsi di tutto. Il ragionamento sembra sensato o presenta problemi che non vedo ? Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120421203446.m59...@corep.it
Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Il 20/04/2012 19:02, dea ha scritto: > Una buona serata a tutta la lista ! > > Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche > soluzione, ma volevo chiedere consiglio a voi per identificare la migliore. > > Quesito: > > Data una rete cablata con n macchine, non si vuole che staccato un cavo si > possa collegare una macchina diversa, anche se chi lo fa è dotato di login e > password validi (per esempio un portatile è validato, uno no). > Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non > si vuole tagliare semplicemente sul gateway. ti base se vuoi gestire switch diversi con sw di "gestione serio" di consiglieri di usare un server radius ed imporre l'autentficazione a livello di uso della scheda di rete. ( ad esempio usando il pppoe). Tutto sommato e semplice e funziona bene e non ti crei problemi di mac mobili Stai attendo anche se sono switch di marca non è detto che il sw di gestione sia buono. Spesso per motivi di marcato si fanno serie economiche che oltre essere carenti a livello di prestazioni, lo sono molto di più a livello di funzioni sw per la gestione. > > Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un > firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC > non in lista ed in tal caso vada in allarme (segnalando via mail il problema). si ma se non leggi la mail ? e se non esce dello switch come cerchi il MAC ? poi se hai 10 switch metti 10 firewall ? A questo punto potresti usare un trucco con il DHCP MAC conosciuto ip valido mac non conosciuto ip non valido. Semplice funzionale senza grandi problemi e sempre la mail su ip non valido. > > E' anche vero che un portatile può usare più spinotti di rete, quindi la > gestione deve essere adattabile. In una rete tipo quella che prospetti questa frase deve essere eccezione non la regola. Sopratutto se usi un controllo su layer L2 onde evitare che i vari protocolli di spanning tree diano i numeri. Se blocci i MAC su uno switch solitamente li mettono su tabelle statiche quindi non sempre le informazioni sono passati alla gestione dello spannig tree quindi potrebbe accadere che tu apri la rete perchè la convergenza sul mac è lento ( fino a qualche minuto) soprattutto se gli switch sono di marche diverse ( in alcuni casi anche tra serie diverse degli switch) > > C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione > migliore. > > Grazie > > Luca > > > > > -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f931288.1080...@gmail.com
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
> I cisco, se non ricordo male, propagano le restrizioni agli altri > switch sia a monte che a valle... Purtroppo dovrò lavorare su una rete esistente e devo tenermi gli switch che ci sono, quindi non posso sfruttare caratteristiche particolari di uno specifico produttore :( Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120421071420.m74...@corep.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
Il 20/04/2012 20:54 Francesco Zanolin ha scritto: Credo che dipenda dallo switch; comunque puoi usare anche "expect" per inviare i comandi allo switch via telnet,ssh automatizzando il processo questo ti permette di essere indipendente. I cisco, se non ricordo male, propagano le restrizioni agli altri switch sia a monte che a valle... Paride -- http://keyserver.linux.it/pks/lookup?op=get&search=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/980b0e58af61376237caad3e96720...@autistici.org
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
On 20/04/2012 23:00, dea wrote: Analizzo il traffico dal firewall trasparente in bridge, mando mail di avviso e filtro iniettando in blacklist il MAC sugli switch. Mi piace, grazie mille :) Luca Figurati! Buona serata e buona caccia. Francesco -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f91d0ed.9000...@ingv.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
> Credo che dipenda dallo switch; comunque puoi usare anche "expect" > per inviare i comandi allo switch via telnet,ssh automatizzando il > processo questo ti permette di essere indipendente. Perfetto ! Analizzo il traffico dal firewall trasparente in bridge, mando mail di avviso e filtro iniettando in blacklist il MAC sugli switch. Mi piace, grazie mille :) Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420205922.m86...@corep.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
On 20/04/2012 20:45, dea wrote: Una delle mie idee era quella di inserire prima del gateway un firewall Linux trasparente (2 schede in bridge) con ebtables che controlla il traffico ed identifica MAC non autorizzati o si mette in modalità di apprendimento per aggiornare la lista in automatico. A questo punto, se il MAC non è autorizzato posso bloccarlo dal bridge, ma, comunque, il traffico sullo switch può farlo. Posso fare un "push" della tabella blacklist MAC verso lo switch in automatico ? Sarebbe risolutivo. Grazie Luca Credo che dipenda dallo switch; comunque puoi usare anche "expect" per inviare i comandi allo switch via telnet,ssh automatizzando il processo questo ti permette di essere indipendente. Buona serata Francesco -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f91cd10@ingv.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
> mi devo scusare, quello che ti ho descritto è il lock down ma > esiste anche il lockout in cui puoi dare la lista dei mac da tenere fuori. > > Ti potrei suggerire, se hai un firewall/gateway/netmonitor linux, di > creare uno script per il controllo di una lista di mac-address > autorizzati e nel caso il mac-address non sia presente eseguire > l'inserimento dello stesso sugli switch tramite il lockout. > > Spero di esserti stato utile. > > Francesco Una delle mie idee era quella di inserire prima del gateway un firewall Linux trasparente (2 schede in bridge) con ebtables che controlla il traffico ed identifica MAC non autorizzati o si mette in modalità di apprendimento per aggiornare la lista in automatico. A questo punto, se il MAC non è autorizzato posso bloccarlo dal bridge, ma, comunque, il traffico sullo switch può farlo. Posso fare un "push" della tabella blacklist MAC verso lo switch in automatico ? Sarebbe risolutivo. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420184135.m71...@corep.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
On 20/04/2012 19:57, dea wrote: Esempio: io ho una porta per il fisso e una per il portatile impostate ciascuna per accettare un solo mac address, se su quella del portatile viene attaccato un device con mac diverso la porta si blocca. La cosa è basata su una tabella che registra ogni mac collegato alla porta quando la tabella è piena la porta si blocca. Bene, mi chiedo se si può gestire in modo centralizzato senza avere una lista per ogni switch (dato che si parla di 160 utenti e molti usano portatili, quindi non hanno una locazione fissa, la stessa macchina può usare diverse porte su più switch). Comunque l'idea è quella, devo capire come ottimizzare il tutto. Grazie Luca Ciao, mi devo scusare, quello che ti ho descritto è il lock down ma esiste anche il lockout in cui puoi dare la lista dei mac da tenere fuori. Ti potrei suggerire, se hai un firewall/gateway/netmonitor linux, di creare uno script per il controllo di una lista di mac-address autorizzati e nel caso il mac-address non sia presente eseguire l'inserimento dello stesso sugli switch tramite il lockout. Spero di esserti stato utile. Francesco -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f91a903.1080...@ingv.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
> Alcuni switch (hp, cisco per esempio) hanno anche il port lockout > legato al mac che permette di bloccare una porta temporaneamente o > in modo definitivo (fino a sblocco dell'admin) in caso sulla porta > vengano registrati n mac address diversi in un certo tempo. > > Un tempo veniva usato nel mio posto di lavoro dal precedente net > admin per impedire l'installazione di hub e bloccare l'uso delle > porte da parte dei visitatori. > > Esempio: io ho una porta per il fisso e una per il portatile > impostate ciascuna per accettare un solo mac address, se su quella > del portatile viene attaccato un device con mac diverso la porta si > blocca. La cosa è basata su una tabella che registra ogni mac > collegato alla porta quando la tabella è piena la porta si blocca. Bene, mi chiedo se si può gestire in modo centralizzato senza avere una lista per ogni switch (dato che si parla di 160 utenti e molti usano portatili, quindi non hanno una locazione fissa, la stessa macchina può usare diverse porte su più switch). Comunque l'idea è quella, devo capire come ottimizzare il tutto. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420175223.m66...@corep.it
R: [OT] Autenticazione LAN a livello di porta (RJ-45)
Ciao, Alcuni switch (hp, cisco per esempio) hanno anche il port lockout legato al mac che permette di bloccare una porta temporaneamente o in modo definitivo (fino a sblocco dell'admin) in caso sulla porta vengano registrati n mac address diversi in un certo tempo. Un tempo veniva usato nel mio posto di lavoro dal precedente net admin per impedire l'installazione di hub e bloccare l'uso delle porte da parte dei visitatori. Esempio: io ho una porta per il fisso e una per il portatile impostate ciascuna per accettare un solo mac address, se su quella del portatile viene attaccato un device con mac diverso la porta si blocca. La cosa è basata su una tabella che registra ogni mac collegato alla porta quando la tabella è piena la porta si blocca. Francesco -- Francesco Zanolin Istituto Nazionale di Geofisica e Vulcanologia Centro Nazionale Terremoti Servizi Informatici E Reti Via di Vigna Murata 605 00143 Roma Italy cell. 3346418320 tel: 0651860346 fax. 0651860541 e-mail: francesco.zano...@ingv.it -Original Message- From: "dea" Date: Fri, 20 Apr 2012 19:02:58 To: Subject: [OT] Autenticazione LAN a livello di porta (RJ-45) Una buona serata a tutta la lista ! Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche soluzione, ma volevo chiedere consiglio a voi per identificare la migliore. Quesito: Data una rete cablata con n macchine, non si vuole che staccato un cavo si possa collegare una macchina diversa, anche se chi lo fa è dotato di login e password validi (per esempio un portatile è validato, uno no). Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non si vuole tagliare semplicemente sul gateway. Una soluzione potrebbe essere quella di implementare 802.1x, ma con autenticazione a livello di MAC. Il mio pensiero è quello che, se non si installa software sui client è meglio, quindi bisogna lavorare di switch ed eventualmente con un server radius di appoggio (devo ancora vedere che switch hanno). Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC non in lista ed in tal caso vada in allarme (segnalando via mail il problema). E' anche vero che un portatile può usare più spinotti di rete, quindi la gestione deve essere adattabile. C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione migliore. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420165345.m49...@corep.it
[OT] Autenticazione LAN a livello di porta (RJ-45)
Una buona serata a tutta la lista ! Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche soluzione, ma volevo chiedere consiglio a voi per identificare la migliore. Quesito: Data una rete cablata con n macchine, non si vuole che staccato un cavo si possa collegare una macchina diversa, anche se chi lo fa è dotato di login e password validi (per esempio un portatile è validato, uno no). Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non si vuole tagliare semplicemente sul gateway. Una soluzione potrebbe essere quella di implementare 802.1x, ma con autenticazione a livello di MAC. Il mio pensiero è quello che, se non si installa software sui client è meglio, quindi bisogna lavorare di switch ed eventualmente con un server radius di appoggio (devo ancora vedere che switch hanno). Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC non in lista ed in tal caso vada in allarme (segnalando via mail il problema). E' anche vero che un portatile può usare più spinotti di rete, quindi la gestione deve essere adattabile. C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione migliore. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420165345.m49...@corep.it
