※ 本文為 layzer 轉寄自 ptt.cc 更新時間: 2014-09-04 12:08:17
看板 MIS
作者 標題 Re: [請益] 如何防止偷接寬頻分享器?
時間 Sat Jun 7 02:04:49 2014
※ 引述《occupy222 (于風實業)》之銘言:
: 在使用dhcp的環境下,什麼技術可以防止ip被nat?
: 比如宿舍網段為192.168.1.0/24,有人把網路線接到他無線頻寬分享器的wan,
: 而wan設為dhcp取得了192.168.1.1/24的ip,其它人使用wlan時,均nat成192.168.1.1上
: 網。 謝謝
: 請注意是nat不是同網段,所以下方法均不適用:
: 1.dhcp snooping
: 2.ip source guard
: 3.mac security
這管法太簡單了,我會這樣做
1.公司的PC/NB/ OA /Print /門禁卡機,有用上網的全把MAC 做成表
2.所有SWITCH 全換成有 802.1X 的.
3.導 Dynamic VLAN .
所有該對好 有線 Port 的 做 MAC Auth,只要是表內的就走部門/OA/Print/門禁卡機
的VLAN
Ex.
a.VLAN 100 Account ,
b.VLAN 200 IT
c.VLAN 300 Sales
d.VLAN 400 卡機
e.VLAN 500 Guest VLAN
++++++++++
而且這樣的好處是,隨便你接,反正是看MAC 給VLAN,接什麼 Device
都沒關係,那你會說有人會 Clone MAC Address???
那就是破壞公司網路,看是記過扣薪還是開除了,嚴重一點
有一條法律也可以告的..
只要是表內的就依VLAN自行上網,不是表內的,就丟到Guest VLAN 驗証
看你是想做BY AD LADP RAIDUS or WEB , 這種自己裝上分享器的他要怎驗証?
這個方法,連用Wifi AP 的 BYOD 的用戶,一樣照管理,方便的很
沒有做不到的方法,還有別的,綁AD 也行.
只有要付出多少的人力物力財力
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.231.89.2
※ 文章網址: http://www.ptt.cc/bbs/MIS/M.1402077892.A.541.html
※ 編輯: asdfghjklasd (36.231.89.2), 06/07/2014 02:06:13
有帳密的人也可以限有需要才能用帳密登,同一時間只能有一個Session
外借的一律OOXX,帳號可以綁身份証,讓借出的人知道這是借出去有風險
※ 編輯: asdfghjklasd (36.231.89.2), 06/07/2014 08:24:52
※ 編輯: asdfghjklasd (36.231.89.2), 06/07/2014 08:27:25
Dlink我沒試過,不過歡迎有設備的人可以找我討論,反正我也沒事做.
只是國產的,我是不熟.對了你說的不穩定是不是跨了SITE?
其實可以在 Core Switch 裡先把所有 MAC 先撈出來,然後若是SWITCH 都已經是網管型
那就可以先比對一下,第一次總是比較痛..所以苦工要先下,沒有天生都會自動好的東西
另外,因為你的問題其實有方案可以解,只是我剛好沒什麼空寫.
我就再回你那篇吧.
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 16:59:43
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:00:54
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:03:11
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:07:09
--
推 :就是要不要花錢而已,有些NGFW OR NGIPS,都有整合身分1F 06/07 04:28
→ :驗証跟APT防禦,不更改既有架構跟設備下,佈署這類方案
→ :,馬上解決問題,兼出報表做績效。
→ :驗証跟APT防禦,不更改既有架構跟設備下,佈署這類方案
→ :,馬上解決問題,兼出報表做績效。
推 :感謝您的指導即便使用aaa 員工有帳密還是會過;4F 06/07 05:31
這個又沒什麼問題,有帳密可以做TOPN ,你現在連管都管不了有帳密的人也可以限有需要才能用帳密登,同一時間只能有一個Session
外借的一律OOXX,帳號可以綁身份証,讓借出的人知道這是借出去有風險
→ :請教怎麼看出有人偷接呢?SWITCH流量、FIREWALL查來源IP5F 06/07 05:32
netfolw,sflow ,MRTG, Fortigate 5.0 也可以做TOPN→ :都難以判斷。若能看出直接口頭禁止 這目前為少數案例6F 06/07 05:34
我想這應該是人的問題吧,沒有管不了的東西,只有有沒有能力管而已※ 編輯: asdfghjklasd (36.231.89.2), 06/07/2014 08:24:52
※ 編輯: asdfghjklasd (36.231.89.2), 06/07/2014 08:27:25
→ :看完這邊文,覺得您在網路方面實在專業,佩服7F 06/07 10:42
這....您在資安也很專業唄..推 :請問A大有沒有遇過802.1X環境認證不穩定的? 以前有想幫8F 06/07 10:46
→ :客戶導 可是前輩跟我說 不要找自己麻煩 802.1X不穩定
→ :我想,會不會是我那前輩能力經驗不足 所以有慘痛經驗?
→ :另外 動態VLAN 的switch 品牌有沒有限制? 例如說D牌它規
→ :格上也寫有這些功能,不過~~~~穩不穩阿?
目前我用的是Cisco/HP SWITCH ,早期的確很難用啊..基本上應該只有用Cisco的吧.→ :客戶導 可是前輩跟我說 不要找自己麻煩 802.1X不穩定
→ :我想,會不會是我那前輩能力經驗不足 所以有慘痛經驗?
→ :另外 動態VLAN 的switch 品牌有沒有限制? 例如說D牌它規
→ :格上也寫有這些功能,不過~~~~穩不穩阿?
Dlink我沒試過,不過歡迎有設備的人可以找我討論,反正我也沒事做.
只是國產的,我是不熟.對了你說的不穩定是不是跨了SITE?
推 :這個有點太大手筆吧,2000+起跳的設備要管理mac...13F 06/07 11:13
其實設備要說貴其實也不貴啦,要是一次弄的話,反而分開分次弄,才會比較貴.推 :哈哈 你講到我最想知道的東西 edge端也要買到L2等級嗎14F 06/07 13:49
L2 一般的都是啊,但是必要支援到一些程度才行,不是所有L2 都可以的喔.→ :2000台要取得mac 是靠core跟arp表??15F 06/07 13:50
其實可以在 Core Switch 裡先把所有 MAC 先撈出來,然後若是SWITCH 都已經是網管型
那就可以先比對一下,第一次總是比較痛..所以苦工要先下,沒有天生都會自動好的東西
另外,因為你的問題其實有方案可以解,只是我剛好沒什麼空寫.
我就再回你那篇吧.
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 16:59:43
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:00:54
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:03:11
※ 編輯: asdfghjklasd (58.16.9.162), 06/07/2014 17:07:09
推 :所有設備ARP控管.IPscan之類解決方案就可以做到了吧....16F 06/07 18:37
→ :上面打太快打錯,是MAC控管冏
→ :這一類的方案做法大多是透過probe設備蒐集MAC,並傳送到
→ :SERVER資料庫,第一次部屬後將所有MAC設定白名單
→ :之後只要有不在名單內的MAC出現,一律用arp偽冒法阻斷
→ :比較省人力,只是問題仍在於要花多少錢去做就是了
→ :上面打太快打錯,是MAC控管冏
→ :這一類的方案做法大多是透過probe設備蒐集MAC,並傳送到
→ :SERVER資料庫,第一次部屬後將所有MAC設定白名單
→ :之後只要有不在名單內的MAC出現,一律用arp偽冒法阻斷
→ :比較省人力,只是問題仍在於要花多少錢去做就是了
→ :問題是在mac資料的完整度啊~~22F 06/08 17:48
→ :我之前的作法是ip source guard 加dhcp mac綁ip,不過最大
→ :的問題在mac的收集一定要完整~~這是不用花錢的soulution
→ :我之前的作法是ip source guard 加dhcp mac綁ip,不過最大
→ :的問題在mac的收集一定要完整~~這是不用花錢的soulution
→ :有些switch設定是可以辨視後端device 不給接分享器即可25F 06/09 16:36
--
※ 看板: layzer 文章推薦值: 0 目前人氣: 0 累積人氣: 1513
回列表(←)
分享