Il giorno 26 settembre 2016 21:08, Kirys <ki...@neoteroi.org> ha scritto:
> Allora per quanto ne so questa è la situazione aziendale (per inciso > Cisco), ad esempio le macchine windows richiedono un certificato per > l'autenticazione 802.1x altrimenti sono sparate su una vlan che permette il > solo accesso a internet. > Tuttavia ho notato che i consulenti che hanno un mac accedono alla rete > interna senza bisogno di tale certificato (il personale aziendale è tutto > windows fatta eccezione alcuni "eccellenti" che presumo siano causa della > questione). > Per inciso i mac dei consulenti in questione non possono aver installato > alcunchè in quanto non avevano ricevuto alcun intervento dal personale it > che gestisce la rete. > Probabilmente usano la funzione MAB (MAC Authentication Bypass), ossia se il dispositivo collegato non invia/risponde con 802.1x, lo switch prende il MAC address e lo usa come nome utente passandolo al RADIUS server. Adesso tra le cose sto cercando un dispositivo di rete usb che mi permetta > di cambiare il mac (stavolta address) onde escludere il caso di whitelist > basata su questo. > Se stai facendo test autorizzati, ti consiglio anche una cosa del genere: http://shellsherpa.nl/nac-bypass-8021x-or-beagle-in-the-middle Se usano ISE, hanno forse una buona sicurezza (implementata ad altri livelli), ma poichè ISE costa, è probabile che esita un NAC alla buona che ha più buchi che altro. Andrea -- In loving service to Sai - Ho Ho Ha Ha To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin Do your work, then step back. The only path to serenity. - Lao Tzu The higher we soar the smaller we appear to those who cannot fly. - F. Nietzsche http://www.routereflector.com/