Архив форумов ЦИТФорума

[viktor83]

Добрый день коллеги!
Есть задача запретить доступ в сеть устройств не являющихся собственностью компании (например личных ноутбуков сотрудников).
Первое что приходит на ум - ограничения по MAC-адресам на коммутаторе.... Поскольку сеть довольно таки большая, то возникнут сложности поддержания в актуальном состоянии еречня MAC-адресов и привязки их к портам.
Хотелось бы подойти к проблеме с другой стороны... Может быть есть альтернативные способы ограничить доступ в сеть? Может быть Active Directory может запрещать подключение к ресурсам сети устройств, не являющихся членом домена? Может быть есть ПО, реализующее защиту сети от самовольного подключения...
Поделитесь опытом?

[grf]

1. Что ты подразумеваешь под "запретить доступ в сеть"?
_________________
Errare humanum est

[viktor83]

В идеале - запретить подключения по Ethernet, но это возможно сделать только тем способом, что я указал.
В принципе я был бы доволен, если-бы ни одно "левое" устройство не смогло получить доступ к ресурсам сети (например доступ к сетевым папкам или к прокси-серверу и т.п.)

[San_dok]

Именно так. Если юзер приносит личный ноутбук и тыкает его в сеть, то никакими иными моментами, кроме как привязки к маку его из сети не вышибить.
Не все же юзеры ничего не понимают. Если он со своей доверенной машины входит в сеть, то что ему мешает посмотреть домен и перебить учетку, и все настройки на личный ноутбук? Правильно. Ничего.
Теперь второе, и то что неоднократно обсуждалось. Такие моменты регулируются административными отношениями, а не админ должен подпрыгивать если дядя вася на другом конце города ноут в сеть тыкает.
Полный отлуп - только по маку. Всё остальное будет в сад, т.к. решение будет однобоким. До следующего васи.

Посмотри еще в сторону DeviceLock. Было у них что-то к привязке винта на доступ к шаре. Насколько работает не юзал. Да и по трудозатратам тот же MAC и выйдет
_________________
В тёмной комнате завсегда имеются тёмные грабли.

[viktor83]

Согласен со свем кроме административных мер... 95 % случаев подключения останутся незамеченными и административные меры воздействия должного эффекта иметь не будут... Я считаю что предотвратить такого рода поползновения будет правильнее, чем расхлёбывать последствия. Ну да ладно, этот вопрос из другой серии. Спасибо за совет!
Может быть ещё есть у кого-то варианты?

[and3008]

Усё давно придумано.
EAP + 802.1x

И ВСЕ!

Авторизация в домене начнет происходить сразу при подключении к сети. Авторизацию не прошел - всем спасибо, идите на фиг.

Настраивать надо авторизацию по компу, а не по юзверю.

На сайте Микрософта про сие довольно сильно пожевано. Почитайте.

Недостаток: ВСЕ ваши коммутаторы должны поддерживать функцию 802.1x

Имеется дыра в этом методе. Юзверь, имеющий права админа на компе может подключить сетевуху на USB и к этой сетевухе подключить ноут. Тогда никакой EAP не спасет. Спасет только ясная и четкая бизнес-логика работы предприятия и ясные и четкие правила что мы защищаем и от кого.

Зачастую все усилия админов по навдению порядка встречают непонимание у сотрудников, т.к. для них это лишний геморой. А без поддержки руководства и непосредственных требований руководства ничего из затеи наведения порядка не выйдет.

Очень часто можно вообще никаких технических мероприятий не проводить. Достаточно всех предупредить, а нарушителей публично выпороть в виде лишения премии, как минимум. Это действует лучше любых технических мероприятий.

[viktor83]

Спасибо за совет and3008! Почитал про это решение.... ТО, ЧТО ДОКТОР ПРОПИСАЛ!!!

[San_dok]

to Aвтор.
NAP в Vistе и Windows XP SP3 это также делает на ура))
Недостаток: все рабочие станции должны соответствовать
_________________
В тёмной комнате завсегда имеются тёмные грабли.