On 24/09/2016 22:51, Andrea Dainese wrote:
Il giorno 23 settembre 2016 09:33, Kirys <ki...@neoteroi.org <mailto:ki...@neoteroi.org>> ha scritto:Una domanda Sto facendo delle verifiche "amatoriali" e autorizzate. Nel sistema NAC credo ci sia una sorta di white list che permette ai pc apple di accedere alla rete indipendentemente se è o meno "aziendale".NAC puo' assumere tanti significanti quante sono le menti pensanti. Ad ogni modo le linee generali vogliono che un sistema di NAC preveda di autenticare e autorizzare i dispositivi connessi alle reti cablate e wireless, assegnando solamente l'accesso necessario. Solitamente ci si basa su 802.1x, anche se esistono sistemi, piu' o meno casalinghi, che si basano su MAC address, e un sistema di assegnazione dinamica delle VLAN (per le reti cablate). Esistono soluzioni piu' o meno complesse che risolvono l'inaffidabilità di 802.1x aggiungendo altri controlli che dovrebbero garantire una migliore affidabilità (credo che il piu' completo da questo punto di vista sia Cisco ISE).
Allora per quanto ne so questa è la situazione aziendale (per inciso Cisco), ad esempio le macchine windows richiedono un certificato per l'autenticazione 802.1x altrimenti sono sparate su una vlan che permette il solo accesso a internet. Tuttavia ho notato che i consulenti che hanno un mac accedono alla rete interna senza bisogno di tale certificato (il personale aziendale è tutto windows fatta eccezione alcuni "eccellenti" che presumo siano causa della questione). Per inciso i mac dei consulenti in questione non possono aver installato alcunchè in quanto non avevano ricevuto alcun intervento dal personale it che gestisce la rete. Questa cosa nella mia testa è, seguendo il "lemma delle mele marce", equivalente a non avere il nac e volevo capire che regola potessere essere stata impletamentata per riconoscere i mac (i noc è muto a riguardo) per vedere se era possiibile "simulare" un mac in modo da dimostrare come tale situazione potesse far accedere qualsiasi pc alla intranet indipendentemente dall'os (che acceda già qualsiasi mac è molto probabile dal campione osservato).
Adesso tra le cose sto cercando un dispositivo di rete usb che mi permetta di cambiare il mac (stavolta address) onde escludere il caso di whitelist basata su questo.
Grazie per l'attenzione Saluti K.
