Защита от физического вторжения

[citroen2013]

Здравствуйте! Интересует следующий момент. Сейчас будет развертываться сервак под управлением Зентал. В связи с этим вопрос - есть ли у зентала функция защиты от подключения сторонних ПК к сети. Ну то есть что то типо фильтрация по МАК адресам у маршрутизатора ТП линк - станция не сможет подключится к сети если ее МАКашник не прописан в списке разрешенных. Есть ли у зентала что то подобное? Или хоть по айпи адресам?

[logdog]

Можно настроить выдачу dhcp по маку.

[citroen2013]

Можно настроить выдачу dhcp по маку.

Это идея. А если пользователь продвинут и сам себе пропишет айпи со шлюзом в настройках тсп ип?

[logdog]

А если пользователь продвинут и сам себе пропишет айпи...

..значит админ настолько туп, чтоб дать пользователю такую возможность...
если ноутбуки личные, то написать скрипт по сканированию диапозона ip - в случае обнаружения - запись в лог (например).

[ds]

Можно настроить выдачу dhcp по маку.

Это идея. А если пользователь продвинут и сам себе пропишет айпи со шлюзом в настройках тсп ип?

в приципе можно ограничить и группу товарищей имеющих доступ до прокси...
но назревает вопрос зачем ВООБЩЕ такая защита нужнаюю не уместнее ли все сделать на основе авторизации "в домене"??

[citroen2013]

Можно настроить выдачу dhcp по маку.

Это идея. А если пользователь продвинут и сам себе пропишет айпи со шлюзом в настройках тсп ип?

в приципе можно ограничить и группу товарищей имеющих доступ до прокси...
но назревает вопрос зачем ВООБЩЕ такая защита нужнаюю не уместнее ли все сделать на основе авторизации "в домене"??

Подскажите пожалуйста вкладку зентала где настраивается авторизация в домен, пожалуйста...

[arman.karenyan]

Но и можешь для страхировки создать каждый день или когда хочешь бекап, все создать бекап. Востоновление из бекапа быстро.

[bubnov-pi]

Ответ - если все клиенты имеют "статический" IP, выдаваемый по DHCP, то попытка подключить к сети сторонний ПК с IP выключенного (в данный момент) клиента приведёт к тому, что "нарушитель" будет видеть всю сеть, кроме сервера zentyal. То есть некое подобие фильтрации по MAC уже присутствует.
Другой вопрос, что "нарушителю" ничто не мешает на своей машине подделать не только IP, но и MAC, так что рассматривать данный способ в качестве панацеи я бы не стал, хотя как некий дополнительный барьер - вполне.

[sc257]

помоему в данной ситуации идеальной защиты нет. Максимально, это выдача DHCP по маку. 

[logdog]

Доктор, меня все игнорируют.
Следующий.

Cкрипт обнаруживает в локальной сети появление новых MAC-ов :
http://sysadmins.ru/post7477327.html

[corwin-mg]

У меня были случаи, когда присутствовал access-list состоящий из name:ip address: mac-address и к этому серверу, не могли подключится пользователи файлового сервера, если мак не соответствовал IP. При этом, этот access-list никто не учавствовал. В какой именно версии такое было - сказать не могу. Но можно предложить разработчикам такую фичу, наверное.

[Rekfuby]

Прошу прощение, но что за индуское порево вы здесь устраиваете???
Создаёте объекты и в объектах прописываете Name-IP-MAC, а потом в фаерволе создаёте правила на основе этих объектов, вот вам и белые и чёрные списки с привязкой IP-MAC , а там уже и vlan в помощь и привязка к порту!

[corwin-mg]

Прошу прощение, но что за индуское порево вы здесь устраиваете???
Создаёте объекты и в объектах прописываете Name-IP-MAC, а потом в фаерволе создаёте правила на основе этих объектов, вот вам и белые и чёрные списки с привязкой IP-MAC , а там уже и vlan в помощь и привязка к порту!

Не всегда такое проще. Если хостов 100 и часто меняется...ну просто задолбаешься. А фаравол выключишь и толку от таких объектов не будет.

[Rekfuby]

1) А зачем фаервол отключать ?
2) Эти объекты используются не только в фаерволе, но и в прокси, CP, DHCP, УТ и тд !
3) А если хосты часто меняются, так ставь CP и выдавай всем логины и пароли для доступа к каким либо важным ресурсам.

[corwin-mg]

1) А зачем фаервол отключать ?

Ну не совсем отключать, а делать any to any : )

3) А если хосты часто меняются, так ставь CP и выдавай всем логины и пароли для доступа к каким либо важным ресурсам.

Ну, как вариант : )