Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
I cisco, se non ricordo male, propagano le restrizioni agli altri switch sia a monte che a valle... Purtroppo dovrò lavorare su una rete esistente e devo tenermi gli switch che ci sono, quindi non posso sfruttare caratteristiche particolari di uno specifico produttore :( Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120421071420.m74...@corep.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
Alcuni switch (hp, cisco per esempio) hanno anche il port lockout legato al mac che permette di bloccare una porta temporaneamente o in modo definitivo (fino a sblocco dell'admin) in caso sulla porta vengano registrati n mac address diversi in un certo tempo. Un tempo veniva usato nel mio posto di lavoro dal precedente net admin per impedire l'installazione di hub e bloccare l'uso delle porte da parte dei visitatori. Esempio: io ho una porta per il fisso e una per il portatile impostate ciascuna per accettare un solo mac address, se su quella del portatile viene attaccato un device con mac diverso la porta si blocca. La cosa è basata su una tabella che registra ogni mac collegato alla porta quando la tabella è piena la porta si blocca. Bene, mi chiedo se si può gestire in modo centralizzato senza avere una lista per ogni switch (dato che si parla di 160 utenti e molti usano portatili, quindi non hanno una locazione fissa, la stessa macchina può usare diverse porte su più switch). Comunque l'idea è quella, devo capire come ottimizzare il tutto. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420175223.m66...@corep.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
On 20/04/2012 19:57, dea wrote: Esempio: io ho una porta per il fisso e una per il portatile impostate ciascuna per accettare un solo mac address, se su quella del portatile viene attaccato un device con mac diverso la porta si blocca. La cosa è basata su una tabella che registra ogni mac collegato alla porta quando la tabella è piena la porta si blocca. Bene, mi chiedo se si può gestire in modo centralizzato senza avere una lista per ogni switch (dato che si parla di 160 utenti e molti usano portatili, quindi non hanno una locazione fissa, la stessa macchina può usare diverse porte su più switch). Comunque l'idea è quella, devo capire come ottimizzare il tutto. Grazie Luca Ciao, mi devo scusare, quello che ti ho descritto è il lock down ma esiste anche il lockout in cui puoi dare la lista dei mac da tenere fuori. Ti potrei suggerire, se hai un firewall/gateway/netmonitor linux, di creare uno script per il controllo di una lista di mac-address autorizzati e nel caso il mac-address non sia presente eseguire l'inserimento dello stesso sugli switch tramite il lockout. Spero di esserti stato utile. Francesco -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f91a903.1080...@ingv.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
mi devo scusare, quello che ti ho descritto è il lock down ma esiste anche il lockout in cui puoi dare la lista dei mac da tenere fuori. Ti potrei suggerire, se hai un firewall/gateway/netmonitor linux, di creare uno script per il controllo di una lista di mac-address autorizzati e nel caso il mac-address non sia presente eseguire l'inserimento dello stesso sugli switch tramite il lockout. Spero di esserti stato utile. Francesco Una delle mie idee era quella di inserire prima del gateway un firewall Linux trasparente (2 schede in bridge) con ebtables che controlla il traffico ed identifica MAC non autorizzati o si mette in modalità di apprendimento per aggiornare la lista in automatico. A questo punto, se il MAC non è autorizzato posso bloccarlo dal bridge, ma, comunque, il traffico sullo switch può farlo. Posso fare un push della tabella blacklist MAC verso lo switch in automatico ? Sarebbe risolutivo. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420184135.m71...@corep.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
On 20/04/2012 20:45, dea wrote: Una delle mie idee era quella di inserire prima del gateway un firewall Linux trasparente (2 schede in bridge) con ebtables che controlla il traffico ed identifica MAC non autorizzati o si mette in modalità di apprendimento per aggiornare la lista in automatico. A questo punto, se il MAC non è autorizzato posso bloccarlo dal bridge, ma, comunque, il traffico sullo switch può farlo. Posso fare un push della tabella blacklist MAC verso lo switch in automatico ? Sarebbe risolutivo. Grazie Luca Credo che dipenda dallo switch; comunque puoi usare anche expect per inviare i comandi allo switch via telnet,ssh automatizzando il processo questo ti permette di essere indipendente. Buona serata Francesco -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f91cd10@ingv.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
Credo che dipenda dallo switch; comunque puoi usare anche expect per inviare i comandi allo switch via telnet,ssh automatizzando il processo questo ti permette di essere indipendente. Perfetto ! Analizzo il traffico dal firewall trasparente in bridge, mando mail di avviso e filtro iniettando in blacklist il MAC sugli switch. Mi piace, grazie mille :) Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420205922.m86...@corep.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
On 20/04/2012 23:00, dea wrote: Analizzo il traffico dal firewall trasparente in bridge, mando mail di avviso e filtro iniettando in blacklist il MAC sugli switch. Mi piace, grazie mille :) Luca Figurati! Buona serata e buona caccia. Francesco -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f91d0ed.9000...@ingv.it
Re: R: [OT] Autenticazione LAN a livello di porta (RJ-45)
Il 20/04/2012 20:54 Francesco Zanolin ha scritto: Credo che dipenda dallo switch; comunque puoi usare anche expect per inviare i comandi allo switch via telnet,ssh automatizzando il processo questo ti permette di essere indipendente. I cisco, se non ricordo male, propagano le restrizioni agli altri switch sia a monte che a valle... Paride -- http://keyserver.linux.it/pks/lookup?op=getsearch=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/980b0e58af61376237caad3e96720...@autistici.org