Re: check switch connections

Ciao Marco

a prescindere dal fatto che puoi usare la port security direttamente a L2
bindando un certo MAC address su una certa porta ho invece una
soluzione molto più elegante (a parer mio):

Ti serve:
- un db dei MacAddress delle tue macchine aziendali
- switch controllabili via SNMP con supporto alle VLAN

Cosa dovresti fare:
- L'idea è quella di riuscire a catturare l'evento "porta UP" quando il
PC si connette allo switch. Questo evento genera nel switch l'invio di una
TRAP SNMP
ad un determinato server SNMP. Tale server (una macchina linux per esempio)
,che possiede il db dei MacAddress, ricevuto i TRAP con indicato il
MacAddress che è apparso sulla
porta dello switch, riesce al volo a cambiare la VLAN dello stesso settando
la porta stessa (sempre via snmp) nella VLAN sicura "dei bravi" o in quella
che chiameremo
"dei cattivi".
Naturalmente le due VLAN saranno state preventivamente impostate sullo
switch e separate da un firewallino sempre linux (che a questo punto può
fare
anche da server SNMP).

In tal modo ottieni una rete switchata le cui VLAN cambiano "al volo"
in base al MacAddress dell'utente che si connette.
Tutti i PC autorizzati devono essere registrati in questo DB dei MacAddress.
In qualunque porta tu attaccherai un PC/notebook con MacAddress autorizzato
ti troverai sempre nella VLAN "dei bravi".

Ciao

PS: se implementi qualcosa facci sapere ..

Ing. Filippo Tonellotto
Network Security Engineer
ftonellotto@e-tree.com
_______________________________________
E-TREE S.p.a. "The no-sleeping company"
Via Fonderia 45 - 31100 Treviso (Italy)
phone +39.0422.3107 fax +39.0422.310888
www.e-tree.com         www.webanana.com
_______________________________________
nano più dotato: merolo


On Friday, January 03, 2003 11:28 AM [GMT+0100=CET],
marco <supermac2@inwind.it> in preda al panico scrisse:

> Ciao a tutti,
>                  sono Marco di Brescia. Sto facendo una tesi di
> laurea sulla sicurezza delle reti LAN; il problema nella rete locale
> del mio dipartimento e'costituito da quelli che arrivano con il
> portatile, si connettono ad una delle tante prese RJ45 sparse per il
> dip. e si fregano un IP attualmente non in uso.
> Non si possono installare software di autenticazione tipo RADIUS,
> allora io ho costruito un programma in Perl che periodicamente
> interroga tramite SNMP gli switch e si fa dire a che porta dello
> switch e' connesso tale MAC address. Dal momento che i PC autorizzati
> si connettono sempre alle stesse prese RJ45 e quindi alle stesse
> porte degli switch, io spero in questo modo di riuscire a loggare il
> fatto che un IP autorizzato(ma rubato..) si connetta ad una porta
> dello switch che non e' la solita.... Credete che questo sia un buon
> approccio per aumentare la sicurezza??? Grazie...
>                                                Marco Antonioli
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List





________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List