Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Il 21/04/2012 22:48, dea ha scritto: Giovanni, ho letto con interesse la tua risposta ! Purtroppo uno dei requisiti da soddisfare è quello di introdurre meno disservizio possibile in una rete con 160 client e, naturalmente, evitare di toccare i client uno per uno. be questo sarebbe il problema toccare i client, ma lo puoi fare poco per volta. Infatti non ti ho parlato di 802.1x o simili, ma PPPOE o simili. Quindi finchè non hai fatto la migrazione dei client funziona anche la rete normale poi appena hai fatto la migrazione lasci attiva solo la rete pppoe... Nella fase migrazione avrei un po traffico in piu' sul gateway e qualche rallentamento. Ma a regime avrai che solo gli utenti abilitati ( che sia MAC o username/password o certificato poco cambia) potranno accedere alla rete ed un eventuale esterno avrà anche poche informazioni per capire la tipologia della rete. La mia idea era quella di collocare un firewall trasparente prima del gateway (non importa cosa ci sia nel mezzo, il MAC source viene ricevuto dato che non ci sono hop nel mezzo), poi con ebtables posso gestire una tabella di MAC. sinceramente non ho mai usato ebtables, cosi profondamente non saprei cosa dire. Pero ti porto un esempio ho un server che attivo 24 ore sulla rete pero spesso nella tabella di arp del mio firewall ( linux/debian 6.0) non risulta il mac di questo server. E vero che il server accede poco o niente risorse che non siano in rete locale. Come si comporta una ebtables in questo caso ? Se voglio interdire un MAC perchè non riconosciuto, l'idea era quella di scriptare via telnet o ssh verso gli switch foglia e bloccare direttamente il MAC non valido, inoltre per sapere su quale porta e su quale switch è collegata la macchina con MAC non valido, si può richiedere sempre via telnet o ssh sui medesimi switch, basta automatizzare la funzione con qualche comando ed il firewall potrebbe occuparsi di tutto. teoricamente bello e facile... pero ti porto un esempio pratico. Ho avuto un problema con un scheda di rete di un dispositivo di registrazione dati, il difetto era che sia era rovinata la eproom dove e' memorizzato MAC per cui di tanto in tanto dava un mac errato. ed il sw non mi da la possibilità di leggere il mac della scheda dal dispositivo. pero dovevo gestire autorizzazione al collegamento... noi abbiamo un controllo sul mac a livello di porta (sistema usato solo per rispetto di una protocollo operativo, altrimenti sarebbe un sistema sovradimensionato per un totale di 33 schede di rete presenti) In ufficio abbiamo 2 switch a 48 porte entrambi cisco. uno un vero switch cisco ( usato per la rete) altro un ex linksys ( usato per collegare questi dispositivi di acquisizione), sono entrambi nuovi ( meno di anno) su uno se modifico la tabella dei MAC source per porta non devo fare niente sul altro devo fare il reboot dello stesso per fargli leggere la tabella valida in poco tempo e sbloccare il MAC. Quindi ogni volta che collegavo il dispositivo in oggetto, dovevo leggere il mac sulla porta autorizzarlo e quindi fare il reboot dello stesso è vero che nel mio caso lo switch era usato solo per questo scopo quindi non era un problema.. ma nel tuo caso ? il reboot è il sistema più veloce ( che ho trovato) per sbloccare il mac bloccato per violazione dello stesso che nel caso del mio switch linksys è di 10min.. Nel tuo caso cosa succederebbe ? Ovviamente se autorizzavo il mac prima del collegamento e porta scollegata il tutto era trasparente. Il ragionamento sembra sensato o presenta problemi che non vedo ? Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f93c7ce.6080...@gmail.com
Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Ho capito Giovanni, ci sono troppe variabili in gioco. Inizio ad analizzare gli apparati che ha il cliente e poi cerco di capire cosa sia meglio. L'idea del PPPoE si aggiunge alla lista delle soluzioni, grazie :) CIAO Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120422090233.m77...@corep.it
Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Il 20/04/2012 19:02, dea ha scritto: Una buona serata a tutta la lista ! Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche soluzione, ma volevo chiedere consiglio a voi per identificare la migliore. Quesito: Data una rete cablata con n macchine, non si vuole che staccato un cavo si possa collegare una macchina diversa, anche se chi lo fa è dotato di login e password validi (per esempio un portatile è validato, uno no). Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non si vuole tagliare semplicemente sul gateway. ti base se vuoi gestire switch diversi con sw di gestione serio di consiglieri di usare un server radius ed imporre l'autentficazione a livello di uso della scheda di rete. ( ad esempio usando il pppoe). Tutto sommato e semplice e funziona bene e non ti crei problemi di mac mobili Stai attendo anche se sono switch di marca non è detto che il sw di gestione sia buono. Spesso per motivi di marcato si fanno serie economiche che oltre essere carenti a livello di prestazioni, lo sono molto di più a livello di funzioni sw per la gestione. Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC non in lista ed in tal caso vada in allarme (segnalando via mail il problema). si ma se non leggi la mail ? e se non esce dello switch come cerchi il MAC ? poi se hai 10 switch metti 10 firewall ? A questo punto potresti usare un trucco con il DHCP MAC conosciuto ip valido mac non conosciuto ip non valido. Semplice funzionale senza grandi problemi e sempre la mail su ip non valido. E' anche vero che un portatile può usare più spinotti di rete, quindi la gestione deve essere adattabile. In una rete tipo quella che prospetti questa frase deve essere eccezione non la regola. Sopratutto se usi un controllo su layer L2 onde evitare che i vari protocolli di spanning tree diano i numeri. Se blocci i MAC su uno switch solitamente li mettono su tabelle statiche quindi non sempre le informazioni sono passati alla gestione dello spannig tree quindi potrebbe accadere che tu apri la rete perchè la convergenza sul mac è lento ( fino a qualche minuto) soprattutto se gli switch sono di marche diverse ( in alcuni casi anche tra serie diverse degli switch) C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione migliore. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f931288.1080...@gmail.com
Re: [OT] Autenticazione LAN a livello di porta (RJ-45)
Giovanni, ho letto con interesse la tua risposta ! Purtroppo uno dei requisiti da soddisfare è quello di introdurre meno disservizio possibile in una rete con 160 client e, naturalmente, evitare di toccare i client uno per uno. Utilizzare autenticazione sui client (per esempio usando 802.1x) per permettere di utilizzare il link di rete si scontra con il fatto che l'utente ha un login valido ma la macchina che usa potrebbe non esserla, è la macchina che va autenticata, non l'utente. So che il MAC non offre una buona sicurezza perchè può essere cambiato con facilità... ma al momento non mi viene in mente altro. La mia idea era quella di collocare un firewall trasparente prima del gateway (non importa cosa ci sia nel mezzo, il MAC source viene ricevuto dato che non ci sono hop nel mezzo), poi con ebtables posso gestire una tabella di MAC. Se voglio interdire un MAC perchè non riconosciuto, l'idea era quella di scriptare via telnet o ssh verso gli switch foglia e bloccare direttamente il MAC non valido, inoltre per sapere su quale porta e su quale switch è collegata la macchina con MAC non valido, si può richiedere sempre via telnet o ssh sui medesimi switch, basta automatizzare la funzione con qualche comando ed il firewall potrebbe occuparsi di tutto. Il ragionamento sembra sensato o presenta problemi che non vedo ? Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120421203446.m59...@corep.it
