[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Luglio 2007 ml@sikurezza.org Soggetto: RE: [ml] controllo portatili consulenti Mittente: Domenico Viggiani Data: Mon, 9 Jul 2007 09:26:30 +0200 (CEST)
> From: Domenico Dig <d.digrego(at)gmail.com> > > Salve in azienda mi si presentano randomicamente dei > personaggi (consulenti) che attaccano il loro portatile in > rete senza nessun controllo. Eh eh, capita a tutti! > Ho tentato di arginare il problema configurando una vlan > statica che da accesso (ai suddetti) ad internet e alle stampanti. > Questa soluzione ? macchinosa, ho sentito parlare di > autenticazione tramite radius (windows 2003 server) 802.1x, i > miei switch hp procurve 26xx dovrebbero supportarla, > renderebbe la vlan dinamica, chiunque si collega ad una porta > dello swich deve autenticarsi e in funzione delle credenziali > viene poi instradato in un determinata vlan (questa parte ? > esclusa dai miei dubbi/quesiti). > Che ne pensate? vado ad infognarmi in un mare di guai? > qualcuno l'ha implementato? Il tuo è un problema "classico" e si risolve con il metodo 'fogna' che hai detto tu: 802.1x, che, al contrario di quanto pensano in molti, funziona anche con le reti wired (e non solo con le wireless). Ti occorrono: - switch che supportino 802.1x (e i Procurve 26xx vanno benissimo, perché li uso anch'io!) - un server Radius (io ho usato IAS - Internet Authentication Services - di Microsoft, che è integrato nel dominio) - client con supplicant 802.1x integrato (Windows XP/Vista vanno bene) Definisci una VLAN di default 'guest', in cui relegare gli ospiti senza autenticazione, e le porte su cui abilitare l'autenticazione; in questo esempio, la porta 1: vlan 7 name "GUEST" untagged 1 tagged 49-50 exit aaa authentication port-access eap-radius radius-server host <ip-radius> key <key> aaa port-access authenticator 1 aaa port-access authenticator 1 max-requests 1 aaa port-access authenticator 1 auth-vid 2 aaa port-access authenticator 1 unauth-vid 7 E' chiaro che l'isolamento della VLAN 'guest' lo ottieni a livello di router, con delle ACL che consentano solo il traffico che desideri (Internet o stampanti, nel tuo caso). Infine, se adotti, come ho fatto io, il criterio che chi fa parte del dominio Windows entra in rete e gli altri no, non c'è bisogno (usando PEAP) di chidere altre password all'utente. Ovviamente, appena hai finito, arriverà qualcuno che ti ordinerà di aprire tutto perché il consulente X è persona fidatissima! Spero di averti risposto Mimmo Viggiani (CS)
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005