On 24/09/2016 22:51, Andrea Dainese wrote:
Il giorno 23 settembre 2016 09:33, Kirys <ki...@neoteroi.org
<mailto:ki...@neoteroi.org>> ha scritto:
Una domanda
Sto facendo delle verifiche "amatoriali" e autorizzate.
Nel sistema NAC credo ci sia una sorta di white list che permette
ai pc apple di accedere alla rete indipendentemente se è o meno
"aziendale".
NAC puo' assumere tanti significanti quante sono le menti pensanti. Ad
ogni modo le linee generali vogliono che un sistema di NAC preveda di
autenticare e autorizzare i dispositivi connessi alle reti cablate e
wireless, assegnando solamente l'accesso necessario. Solitamente ci si
basa su 802.1x, anche se esistono sistemi, piu' o meno casalinghi, che
si basano su MAC address, e un sistema di assegnazione dinamica delle
VLAN (per le reti cablate).
Esistono soluzioni piu' o meno complesse che risolvono
l'inaffidabilità di 802.1x aggiungendo altri controlli che dovrebbero
garantire una migliore affidabilità (credo che il piu' completo da
questo punto di vista sia Cisco ISE).
Allora per quanto ne so questa è la situazione aziendale (per inciso
Cisco), ad esempio le macchine windows richiedono un certificato per
l'autenticazione 802.1x altrimenti sono sparate su una vlan che permette
il solo accesso a internet.
Tuttavia ho notato che i consulenti che hanno un mac accedono alla rete
interna senza bisogno di tale certificato (il personale aziendale è
tutto windows fatta eccezione alcuni "eccellenti" che presumo siano
causa della questione).
Per inciso i mac dei consulenti in questione non possono aver installato
alcunchè in quanto non avevano ricevuto alcun intervento dal personale
it che gestisce la rete.
Questa cosa nella mia testa è, seguendo il "lemma delle mele marce",
equivalente a non avere il nac e volevo capire che regola potessere
essere stata impletamentata per riconoscere i mac (i noc è muto a
riguardo) per vedere se era possiibile "simulare" un mac in modo da
dimostrare come tale situazione potesse far accedere qualsiasi pc alla
intranet indipendentemente dall'os (che acceda già qualsiasi mac è molto
probabile dal campione osservato).
Adesso tra le cose sto cercando un dispositivo di rete usb che mi
permetta di cambiare il mac (stavolta address) onde escludere il caso di
whitelist basata su questo.
Grazie per l'attenzione
Saluti
K.