Ciao, Alcuni switch (hp, cisco per esempio) hanno anche il port lockout legato al mac che permette di bloccare una porta temporaneamente o in modo definitivo (fino a sblocco dell'admin) in caso sulla porta vengano registrati n mac address diversi in un certo tempo.
Un tempo veniva usato nel mio posto di lavoro dal precedente net admin per impedire l'installazione di hub e bloccare l'uso delle porte da parte dei visitatori. Esempio: io ho una porta per il fisso e una per il portatile impostate ciascuna per accettare un solo mac address, se su quella del portatile viene attaccato un device con mac diverso la porta si blocca. La cosa è basata su una tabella che registra ogni mac collegato alla porta quando la tabella è piena la porta si blocca. Francesco -- Francesco Zanolin Istituto Nazionale di Geofisica e Vulcanologia Centro Nazionale Terremoti Servizi Informatici E Reti Via di Vigna Murata 605 00143 Roma Italy cell. 3346418320 tel: 0651860346 fax. 0651860541 e-mail: francesco.zano...@ingv.it -----Original Message----- From: "dea" <d...@corep.it> Date: Fri, 20 Apr 2012 19:02:58 To: <debian-italian@lists.debian.org> Subject: [OT] Autenticazione LAN a livello di porta (RJ-45) Una buona serata a tutta la lista ! Questo pomeriggio mi è stata posta una domanda, avrei per la testa qualche soluzione, ma volevo chiedere consiglio a voi per identificare la migliore. Quesito: Data una rete cablata con n macchine, non si vuole che staccato un cavo si possa collegare una macchina diversa, anche se chi lo fa è dotato di login e password validi (per esempio un portatile è validato, uno no). Non si vuole generare traffico anche a livello di LAN (in subnet), quindi non si vuole tagliare semplicemente sul gateway. Una soluzione potrebbe essere quella di implementare 802.1x, ma con autenticazione a livello di MAC. Il mio pensiero è quello che, se non si installa software sui client è meglio, quindi bisogna lavorare di switch ed eventualmente con un server radius di appoggio (devo ancora vedere che switch hanno). Altra soluzione non gestire alcuna autenticazione ma semplicemente porre un firewall trasparente L2 a monte dello switch, in modo che identifichi un MAC non in lista ed in tal caso vada in allarme (segnalando via mail il problema). E' anche vero che un portatile può usare più spinotti di rete, quindi la gestione deve essere adattabile. C'è estrema flessibilità nella gestione, vorrei capire con voi la soluzione migliore. Grazie Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120420165345.m49...@corep.it