AbcLinuxu:/ Poradna / Linuxová poradna / Overenie počítača pre prístup do siete

Štítky: CentOS, DHCP, distribuce, firewally, Internet, iptables, mac, PC, pěkné, server, siet, sítě, skript, Ste, Su

Dotaz: Overenie počítača pre prístup do siete

3.1.2014 09:53 Peter
Overenie počítača pre prístup do siete

Přečteno: 401×

Odpovědět | Admin

Dobrý deň vám prajem.

V práci mám CentOS server ktorý okrem iného robí DHCP server a firewall. Vnútornú sieť máme oddelenú pre firemné PC a pre hosťov. Internet je pripojený na eth0, firemná sieť na eth1 a AP pre hosťov na eth2. Na eth1 je dhcp s "deny unknown client" a mám skript pre iptables ktorý zakazuje všetky spojenia z eth1 siete okrem tých ktorí sú uvedený v dhcpd.conf. Ale pre také indivídum ktoré chce škodiť je toto riešenie absolútne nedostatočné. Nieje predsa nič jednoduchšie ako sniffnúť si nejakú "povolenú" mac adresu a zmeniť si tú svoju.

Preto hľadám nejaké riešenie na jednoznačné overenie PC. Čiže nie overovanie používateľov ale samotného počítača. Ideálne niečo čo by išlo úplne mimo používateľa, teda žiadne prihlasovacie portály a podobné zhovadilosti.

Dúfam, že ste ma pochopili.

Vopred vám veľmi pekne ďakujem.

Nástroje: Začni sledovat (1) ?

Odpovědi

3.1.2014 10:14 NN
Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete

802.1x

3.1.2014 10:49 Peter
Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete

No na to som myslel ako na prvé, ale problém je v tom, že nemám switch ktorý by to podporoval. Ja som skôr myslel niečo na úrovni servera.

3.1.2014 10:58 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete

pokud skutecne chces overovat pristup poctace do site - tzn. zajisteni ihned na bodu pripojeni pocitace - tzn. poridit switch s podporou 802.1x - dneska uz to neni zadna velka investice. Pak by jeste slo najmout osobou ktera by zasuvku pocitace v danej okamzik vyskubla z patch panelu :-)

Bohuzel jine reseni nez 802.1x asi neni. Server to nema overovat jak - ten muze pouze overovat pristup na sebe ale ne jestli si muze dany pocitac povidat s jinym pocitacem (kdyz o tom datovym toku diky switchy nic nevi)

3.1.2014 11:15 Peter
Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete

Objednavka na takýto switch u nákupčího už je, ale kedy bude vybavená to je vo hviezdach. A mne osobne išlo práve o tu komunikáciu so serverom, je mi jasné, že bez 802.1x sieť ako takú neporiešim, ale snažim sa aspoň "ochrániť" server.

3.1.2014 11:18 Peter
Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete

Ináč povedané - teraz iptables blokuje na základe mac adresy, čo je ale veľmi jednoducho prekonatelné. Ja potrebujem v iptables blokovať, respektíve povoľovať podľa niečoho čo nie je tak jednoducho prekonatelné ako mac.

3.1.2014 11:32 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete

Tak zkus DHCP server + iptables filtr podle mac+IP. Proste kazda MAC bude mit pevnou IP a to si budes hlidat firewallem.

3.1.2014 11:50 Peter
Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete

No ale veď o to hovorím, že toto nasadené mám, ale je to jednoducho prekonateľné.

3.1.2014 12:01 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: Overenie počítača pre prístup do siete

IPsec je standartní způsob autentizace ipv4, ale počítej že to není žádná sranda rozběhnout. Jestli nechceš šifrovat veškerou komunikaci se serverem, tak ti stačí zařídit certifikáty a nastavit AH.

"2^24 comments ought to be enough for anyone" -- CmdrTaco

3.1.2014 19:26 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Síťová autentizace pro chudé

Než ti koupí ten switch s podporou 802.x, co takhle dát šanci PPPoE?

Idea je taková, že na síti eth1 nebude žádný DHCP server, a firemní počítače si „vytočí“ spojení na PPPoE server, který ověří uživatelské jméno a heslo a na základě těchto údajů přidělí počítači IP adresu, DNS servery etc. Přes iptables potom pořešíš pravidla tak, jak jsi zvyklý.

Jedinou vadou na kráse tohoto řešení je fakt, že bude potřeba i uživatelská interakce, čemuž jsi se chtěl vyhnout.

V případě zájmu ti můžu pomoci s nastavením, stačí kontakt přes PM.

Neznáš nějakou linuxovou distribuci pro Windows?

3.1.2014 20:15 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: Síťová autentizace pro chudé

Zajimavy napad. Mozna bude mit ale pan problem napr. s pripadnymi externimi pracovniky, kteri se budou obcas chtit pripojit do site, protoze tenhle setup neni zrovna standardni.

Linux is like a wigwam - no windows, no gates and Apache inside.

3.1.2014 20:21 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: Síťová autentizace pro chudé

Mohl by jsi prosím více rozvést myšlenku s externími spolupracovníky a případnými problémy? V případě přístupu zvenčí použijí VPN, zevnitř použijí jméno a heslo (pppoe klient je součástí windows od dob XP), eventuálně mohou použít síť pro hosty a navázat si VPN :-)

Neznáš nějakou linuxovou distribuci pro Windows?

3.1.2014 20:37 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: Síťová autentizace pro chudé

Pokud pujdou pres VPN, pak je to ok. Myslel jsem to tak, ze v momente, kdy se bude chtit nekdo pripojit zevnitr, nekdo mu bude muset a) vytvorit ucet, b) nekdo bude muset externistu instruovat, jak nakonfigurovat PPPoE. Samozrejme zalezi na situaci, velikosti firmy, firemni politice, schopnostech externistu...

Linux is like a wigwam - no windows, no gates and Apache inside.

Založit nové vlákno • Nahoru

Tiskni Sdílej: