LAN - zabezpeceni portu na switchi

[LadaP]

Ahoj,

rád bych se zeptal zkušenějšícho kolegů.

Dostal jsem zadání z jedné firmy ohledně zabezpečení zásuvek.
Na základě MAC adresy připojeného zařízení se chtějí rozhodovat do jaké VLAN patří. Existuje nějaké implementace, která by toto zvládla? Koukal jsem na 802.1X, ale to neodpovídá tomuto zadání. Prosím nerozporujte, že MAC se dá podvrhnout atd..

Představa, firemní MAC zadána v radius serveru, switch ověří u radiusu zda ji zná, pokud ano nahodí na portu default nebo požadovanou VLAN.
Nezná danou MAC, port buď vypne nebo přiřadí definovanou VLAN.

díky

[danno1771]

Záleží aká veľká sieť, ale jednoducho switch nastavis počet vlan aj s mac adresami porty na ktoré sa majú použiť a Pc ktorý sa pripojí automaticky bude v danej vlane

[LadaP]

8x 48 (52)port switch, ne vše obsazené. Tento rok, se bude komplet obměňovat.

[rsaf]

Blokaci na MAC adresy rozporovat budeme, anžto je to asi kravina. Ideálně, pokud je to Windows síť, nasadit 802.1x autentizaci s Microsoftím NAC.

[ludvik]

Třeba u edgecore je možno využít funkci Network access. Zatím jsem to nezkoušel osobně ... ale princip je ten, že switch pošle připojenou MAC na radius server (jako jméno i jako heslo) a provoz povolí pouze pokud se to povede (resp. neautentifikované mají tzv. guest vlan). Radius může i vracet atributy jako vlan či qos.

rsaf: ono ne na každé zařízení lze 802.1x nasadit ...

[rsaf]

Souhlasím, ale u takového zařízení (tiskárna, kamery) se to dá řešit vazbou na MAC + oddělením těchto zařízení do samostatné VLANy (omezený přístup na net i k jiným prostředkům v síti) a samozřejmě taky fyzickým umístěním (těžko někdo poleze do LAN tak, že rozebere kameru pod stropem).
Jinak ještě relativně použitelná funkce je ARP Inspection (ale na různých switchích se ty názvy trošku liší) - switch umožní na portu jen komunikaci IP adres, které byly předtím přiděleny DHCPčkem. Zabrání to "kradení adres" a je to celkem jednoduché na správu (stačí dělat statické rezervace na DHCP serveru a nemít žádný volný pool). Spoustu věcí to ale neřeší (přiřazení VLANy).

[sub_zero]

Máme nasazeno ve firmě. 800+ PC, HPE switche, Win AD, 802.1x, GVPR. Pár porodních bolestí bylo (např. vyladit timeouty, nekompatibilní síťovky v PC apod)
Tiskárny/multifunkce/servery a podobný věci v jiné vlaně.

[LadaP]

Třeba u edgecore je možno využít funkci Network access. Zatím jsem to nezkoušel osobně ... ale princip je ten, že switch pošle připojenou MAC na radius server (jako jméno i jako heslo) a provoz povolí pouze pokud se to povede (resp. neautentifikované mají tzv. guest vlan). Radius může i vracet atributy jako vlan či qos.

rsaf: ono ne na každé zařízení lze 802.1x nasadit ...

děkuju, podívám se na to. Pár těchto switchů mám.

[LadaP]

Máme nasazeno ve firmě. 800+ PC, HPE switche, Win AD, 802.1x, GVPR. Pár porodních bolestí bylo (např. vyladit timeouty, nekompatibilní síťovky v PC apod)
Tiskárny/multifunkce/servery a podobný věci v jiné vlaně.

certifikáty ofiko nebo self?

[sub_zero]

Máme nasazeno ve firmě. 800+ PC, HPE switche, Win AD, 802.1x, GVPR. Pár porodních bolestí bylo (např. vyladit timeouty, nekompatibilní síťovky v PC apod)
Tiskárny/multifunkce/servery a podobný věci v jiné vlaně.

certifikáty ofiko nebo self?

self, podepsano autoritou z AD

[LadaP]

co na to MacOS, jaké Win máš v síti?

[sub_zero]

co na to MacOS, jaké Win máš v síti?

MacOS u nás zakázáno , Win 7 + 10, WiFi radiusem, opet selfsigned

[LadaP]

to se ti to pak mluví
Maca ma primárně management a majitel..., klasika.

[rsaf]

Jistě i na ně půjde nahrát certifikát vystavený Windows CA. Třeba na rok, dva.

Certifikáty nejsou SELF ale vystavené Windows CA. Její politika (defaultní) automaticky vystavuje certifikát každému ověřenému PC, které si o něj řekne.

[sub_zero]

to se ti to pak mluví
Maca ma primárně management a majitel..., klasika.

hele, kde je problem pro jabka udelat zvlast VLANu bez 802.1x? Puvodne jsme chteli i wifiny nacpat do produkcni VLANy, aby se uzivatele z NB a Tabletu nemuseli tocit na L3 sw popr. az na FortiGatu.
A protoze mame SSL inspekci veskeryho provozu do netu, narazil jsem na problem nemoznosti (resp. je to asi mozny, ale vysral bych se na to) importu certifikatu do iOS (sam pouzivam). Tak jsme udelali WiFi na separatni VLANe a neni s tim problem. Asi 120 UniFi, navazany na NAC, overeni Radiusem z AD.