El jue, 30-03-2006 a las 00:29 -0400, Miguel Angel Amador L escribió: > On 3/29/06, Claudio Bustos Bravo <[EMAIL PROTECTED]> wrote: > > El mié, 29-03-2006 a las 19:43 -0400, Miguel Angel Amador L escribió: > > > 801.1x, autenticacion de MAC ADDRESS via EAP contra un servidor > > > Radius ?, > > > > Cuando se involucran las mac address, me preocupo por la posible > > clonacion... > > Por eso se autenticaa ... no solo valida que no te clonen la MAC, si > no tambien autentica la MAC, cosa que cuando conectas el cable de red > y el switch recibe el link, manda una peticion de autenticacion EAP, > que la MAC debe contestar, si no lo hace adecuadamente, puedes enviar > esa puerta a una VLAN de cuarentena,por decir algo, o por ejemplo si > no tienes el antivirus actualizado, podrias mandar a actualizar el > antivirus del equipo en cuestion, antes que se conecte a la red... > (para eso requieres un policy server )(NAC en caso de cisco , NAP en > el de MS$, aun no se si este esta disponible, NAC si). o lo colocas en > una VLAN de Visitas... ahora si esa MAC autentica positivamente, > entonces el switch la deja entrar a la VLAN que le corresponde. 802.1x > evita que el pase los filtros de clonado de MAC, y puedes usar tajetas > inteligentes u otro tipo de autenticacion segura, el problema es que > es demasiado caro tener esta infraestructura. >
ok. Me parece interesante. Suena a lo que necesito. Voy a documentarme de esto, gracias por la paciencia. > > > > > los Switchs Cisco Catalyst 2960 lo soportan, si algun > > > intruso conecta su equipo contra un punto de red y este no esta > > > autorizado, el switch no lo dejara ver el resto de la red a menos que > > > la autenticacion sea valida. > > > > Al medio de esta red hay un router 3com 7700 que tiene muchas gracias, > > pero un pc que se conecte en una de las 16 subredes podria accesar > > servicios locales a la esa subred. Quiero ir mas alla e imposibilitar > > que la red funcione si no soy un pc/usuario autorizado. > > Para eso tu Switch deberia poder autenticar bajo 802.1x, si no... :-( > > > > > aparte de eso vienen con algunas extenciones de seguridad contra DHCP > > > Snooping, ARP Spoofing/Poisoning, etc... > > > > > > Basicamente tu switch debe autenticar las MAC ADDRESS que se conecten > > > a el a traves de 802.1x > > > > > Salu2 > -- > Miguel Angel Amador L. > [ jokercl at gmail dot com | User #297569 counter.li.org ] > [ http://www.fotolog.net/kush ] > >