顯示廣告
隱藏 ✕
※ 本文為 layzer 轉寄自 ptt.cc 更新時間: 2014-09-04 12:08:17
看板 MIS
作者 asdfghjklasd (中華民國政府已經沒救了)
標題 Re: [請益] 如何防止偷接寬頻分享器?
時間 Sat Jun  7 02:04:49 2014


※ 引述《occupy222 (于風實業)》之銘言:
:   在使用dhcp的環境下,什麼技術可以防止ip被nat?
: 比如宿舍網段為192.168.1.0/24,有人把網路線接到他無線頻寬分享器的wan,
: 而wan設為dhcp取得了192.168.1.1/24的ip,其它人使用wlan時,均nat成192.168.1.1上
: 網。 謝謝
: 請注意是nat不是同網段,所以下方法均不適用:
: 1.dhcp snooping
: 2.ip source guard
: 3.mac security
這管法太簡單了,我會這樣做

1.公司的PC/NB/ OA /Print /門禁卡機,有用上網的全把MAC 做成表

2.所有SWITCH 全換成有 802.1X 的.

3.導 Dynamic VLAN .

所有該對好 有線 Port 的 做 MAC Auth,只要是表內的就走部門/OA/Print/門禁卡機
的VLAN

Ex.

a.VLAN 100 Account ,
b.VLAN 200 IT
c.VLAN 300 Sales
d.VLAN 400 卡機
e.VLAN 500 Guest VLAN
++++++++++
而且這樣的好處是,隨便你接,反正是看MAC 給VLAN,接什麼 Device
都沒關係,那你會說有人會 Clone MAC Address???
那就是破壞公司網路,看是記過扣薪還是開除了,嚴重一點
有一條法律也可以告的..

只要是表內的就依VLAN自行上網,不是表內的,就丟到Guest VLAN 驗証
看你是想做BY AD LADP RAIDUS or WEB , 這種自己裝上分享器的他要怎驗証?
這個方法,連用Wifi AP 的 BYOD 的用戶,一樣照管理,方便的很


沒有做不到的方法,還有別的,綁AD 也行.

只有要付出多少的人力物力財力

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.231.89.2
※ 文章網址: http://www.ptt.cc/bbs/MIS/M.1402077892.A.541.html
※ 編輯: asdfghjklasd (36.231.89.2), 06/07/2014 02:06:13
IyuanChen:就是要不要花錢而已,有些NGFW OR NGIPS,都有整合身分1F 06/07 04:28
IyuanChen:驗証跟APT防禦,不更改既有架構跟設備下,佈署這類方案
IyuanChen:,馬上解決問題,兼出報表做績效。
occupy222:感謝您的指導即便使用aaa 員工有帳密還是會過;4F 06/07 05:31
這個又沒什麼問題,有帳密可以做TOPN ,你現在連管都管不了
有帳密的人也可以限有需要才能用帳密登,同一時間只能有一個Session
外借的一律OOXX,帳號可以綁身份証,讓借出的人知道這是借出去有風險
occupy222:請教怎麼看出有人偷接呢?SWITCH流量、FIREWALL查來源IP5F 06/07 05:32
netfolw,sflow ,MRTG, Fortigate 5.0 也可以做TOPN
occupy222:都難以判斷。若能看出直接口頭禁止 這目前為少數案例6F 06/07 05:34
我想這應該是人的問題吧,沒有管不了的東西,只有有沒有能力管而已
※ 編輯: asdfghjklasd (36.231.89.2), 06/07/2014 08:24:52
※ 編輯: asdfghjklasd (36.231.89.2), 06/07/2014 08:27:25
coflame:看完這邊文,覺得您在網路方面實在專業,佩服7F 06/07 10:42
這....您在資安也很專業唄..
trumpete:請問A大有沒有遇過802.1X環境認證不穩定的?  以前有想幫8F 06/07 10:46
trumpete:客戶導  可是前輩跟我說 不要找自己麻煩 802.1X不穩定
trumpete:我想,會不會是我那前輩能力經驗不足 所以有慘痛經驗?
trumpete:另外 動態VLAN 的switch 品牌有沒有限制? 例如說D牌它規
trumpete:格上也寫有這些功能,不過~~~~穩不穩阿?
目前我用的是Cisco/HP SWITCH ,早期的確很難用啊..基本上應該只有用Cisco的吧.
Dlink我沒試過,不過歡迎有設備的人可以找我討論,反正我也沒事做.
只是國產的,我是不熟.對了你說的不穩定是不是跨了SITE?
Wishmaster:這個有點太大手筆吧,2000+起跳的設備要管理mac...13F 06/07 11:13
其實設備要說貴其實也不貴啦,要是一次弄的話,反而分開分次弄,才會比較貴.
liskenny:哈哈  你講到我最想知道的東西 edge端也要買到L2等級嗎14F 06/07 13:49
L2 一般的都是啊,但是必要支援到一些程度才行,不是所有L2 都可以的喔.
liskenny:2000台要取得mac  是靠core跟arp表??15F 06/07 13:50

其實可以在 Core Switch 裡先把所有 MAC 先撈出來,然後若是SWITCH 都已經是網管型
那就可以先比對一下,第一次總是比較痛..所以苦工要先下,沒有天生都會自動好的東西

另外,因為你的問題其實有方案可以解,只是我剛好沒什麼空寫.

我就再回你那篇吧.

※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 16:59:43
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:00:54
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:03:11
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:07:09
deadwood:所有設備ARP控管.IPscan之類解決方案就可以做到了吧....16F 06/07 18:37
deadwood:上面打太快打錯,是MAC控管冏
deadwood:這一類的方案做法大多是透過probe設備蒐集MAC,並傳送到
deadwood:SERVER資料庫,第一次部屬後將所有MAC設定白名單
deadwood:之後只要有不在名單內的MAC出現,一律用arp偽冒法阻斷
deadwood:比較省人力,只是問題仍在於要花多少錢去做就是了
billboy:問題是在mac資料的完整度啊~~22F 06/08 17:48
billboy:我之前的作法是ip source guard 加dhcp mac綁ip,不過最大
billboy:的問題在mac的收集一定要完整~~這是不用花錢的soulution
Weky:有些switch設定是可以辨視後端device 不給接分享器即可25F 06/09 16:36

--
※ 看板: layzer 文章推薦值: 0 目前人氣: 0 累積人氣: 1513 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇