"zabezpecena" LAN

Místo, kde žádná otázka není hloupá.
LadaP
Příspěvky: 95
Registrován: 12 years ago

"zabezpecena" LAN

Příspěvekod LadaP » 3 weeks ago

Ahoj,

jeden zakaznik po me chce, aby mel plnou kontrolu nad siti. Aby nebylo mozne prijit k zasuvce, zapojit kabel a tim se pripojit do LAN. Nejde tedy jen o to, zakazovat a povolovat porty na switchy. Ma predstavu, ze bude povolovat jednotliva zarizeni "MAC", nic jineho nez povolene v siti nechce.

Neresil to nekdo z Vas, nezna nekdo nejake ucelene reseni?

Jde o 50 PC zapojenych do cca. 10 switchu.

Děkuju
L

PS : samozrejme to musi byt co nejlevnejsi
0 x
TrUsík

cerva
Příspěvky: 168
Registrován: 3 years ago

Příspěvekod cerva » 3 weeks ago

Resenim je povolovat pristup do site na ethernetu na switchi na zaklade 802.1x a pouzivat RADIUS s databazi povolenych MAC.
2 x

ludvik
Příspěvky: 3693
Registrován: 7 years ago

Příspěvekod ludvik » 3 weeks ago

Některé switche umí využít dhcp-snooping. Edgecore tomu říká IP source guard. Ovládat DHCP by mohlo být jednodušší, než se párat s 802.1x.
Případně mají funkci Network Access, která sice vyžaduje radius, ale už ne 802.1x
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

LadaP
Příspěvky: 95
Registrován: 12 years ago

Příspěvekod LadaP » 3 weeks ago

dekuju obema. Chteji si to managovat sami, tak musim vymyslet neco "user friendly".
Dodam, ze tam neni zadny server. DHCP dela MK.

diky
L
0 x
TrUsík

Standula
Příspěvky: 150
Registrován: 9 years ago
Kontaktovat uživatele:

Příspěvekod Standula » 3 weeks ago

Jednoznačně RADIUS.
0 x

LadaP
Příspěvky: 95
Registrován: 12 years ago

Příspěvekod LadaP » 3 weeks ago

tak pokud bude postacovat freeradius s web managementem, tak to snad bude OK. Pak bych mel, ale vyresit i dostupnost radiusu.
0 x
TrUsík

rsaf
Příspěvky: 531
Registrován: 11 years ago

Příspěvekod rsaf » 3 weeks ago

Dobře funguje DHCP snooping s ARP inspection - alespoň takto se to jmenuje na Cisco switchích. Zjednodušeně - switcg zařízení nepovolí jinou komunikaci než poslání DHCP requestů a to až do chvíle než proběhne validní DHCP response... Tedy dokud zařízení nedostalo IP adresu od DHCP serveru, neškrtne si. Na DHCP serveru pak zajistíš, že přiděluje adresy jen známým zařízením podle mac adres.
Ve větších podnikových sítích se používá 802.1x integrované s Active Directory - počítače se identifikují svým účtem počítače v AD... takže do sítě nejde dostat PC, které není členem AD - ukradnout MAC nestačí...
1 x

iTomB
Příspěvky: 627
Registrován: 12 years ago

Příspěvekod iTomB » 3 weeks ago

ludvik píše:Některé switche umí využít dhcp-snooping. Edgecore tomu říká IP source guard. Ovládat DHCP by mohlo být jednodušší, než se párat s 802.1x.
Případně mají funkci Network Access, která sice vyžaduje radius, ale už ne 802.1x


Trosku si to pletes, DHCP snooping a ip source guard je neco jineho.

Ale ano, lze to takto resit. Staci nastaven snooping (nebude parazitni DHCP server), zapnuty IP Source guard a ten kdo neni v DHCP serveru nastaven dle MAC adresy, tak se nepripoji do site. Takze neni potreba radius.
0 x

ludvik
Příspěvky: 3693
Registrován: 7 years ago

Příspěvekod ludvik » 3 weeks ago

Nepletu ... IP source guard využívá informace z dhcp snoopingu. Sám jsi to tak napsal ...
iTomB píše:
ludvik píše:Některé switche umí využít dhcp-snooping. Edgecore tomu říká IP source guard. Ovládat DHCP by mohlo být jednodušší, než se párat s 802.1x.
Případně mají funkci Network Access, která sice vyžaduje radius, ale už ne 802.1x


Trosku si to pletes, DHCP snooping a ip source guard je neco jineho.

Ale ano, lze to takto resit. Staci nastaven snooping (nebude parazitni DHCP server), zapnuty IP Source guard a ten kdo neni v DHCP serveru nastaven dle MAC adresy, tak se nepripoji do site. Takze neni potreba radius.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

LadaP
Příspěvky: 95
Registrován: 12 years ago

Příspěvekod LadaP » 3 weeks ago

děkuji pánové, projdu si to.

EdgeCore mám po ruce tak i vyzkouším.
0 x
TrUsík

iTomB
Příspěvky: 627
Registrován: 12 years ago

Příspěvekod iTomB » 2 weeks ago

DHCP snooping a IP Source Guard pouzivaji stejna data, ale kazdy ma jinou funkci ...
0 x


Zpět na „Začátečnické témata“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 0 hostů