在我的networking中,我运行dhcpd3设置为只分配给特定的MAC地址的IP地址。 它奇妙的工作,我甚至整合了bind9自动创build一个自定义TLD和所有的直接和反向DNS主机名。
但有一件事我还没弄明白:如果用户在他的机器上设置了一个静态IP,他就可以访问networking。 使用iptables过滤不在dhcpd3指定的范围内的IP地址也没有什么帮助,因为如果IP地址为192.168.0.20的用户不在办公室,该IP地址仍然在允许列表中。 而当他插入电脑时,我们会遇到重复地址等问题。
一个解决scheme,其中dhcpd3(或其他DHCP服务器)运行一个外部脚本,调用iptables来解除阻塞地址将是非常好的,但我无法find一个DHCP服务器,这样做。
我考虑使用802.1X与RADIUS,但我有一些不支持它的打印机和IP电话,所以我需要告诉交换机,一些端口不会使用802.1X。 这就打开了一个漏洞,他们可以将小型8端口交换机添加到networking,并在那里插入他们的机器。 另外,IP电话还有一个embedded式2端口交换机。
我知道有一种叫做RADA的地方,允许特定的MAC地址绕过RADIUSauthentication,但是我的交换机不能很好地支持它。
我真的没有这个想法。 也许有一个非常简单和优雅的解决scheme,但我真的不能自己找出来。
你不能在知识产权一级这样做; 如果用户configuration他的电脑有一个有效的地址/掩码,它将能够访问您的networking。 这里唯一的select是过滤MAC级别的访问,因此只允许属于您信任的计算机(或设备)的以太网卡。 802.1x真的是最好的解决scheme。
我猜想系统被分配一个IP地址后打开filter打开计时问题。 我将开始使用arpwatch或类似的东西来扫描新系统,比较它与DHCP租约表或允许的系统列表,如果你发现一个未经授权的系统,在这一点上阻止它。 如何阻止它取决于您的networking布局和硬件。 如果你在办公室没有使用许多桌面交换机,我的想法就是停用相关的交换机端口。
另一个更简单的解决scheme可能是为大多数端口激活802.1X,但是对于这些不起作用的端口使用允许的MAC列表。 这当然必须得到您的交换机型号的支持。
有些交换机可以做你想要的。 对于某些Cisco Catalyst交换机来说,有一个叫做“ip source guard”的function可以满足您的需求。 (其他一些供应商也有类似的function,只是谷歌供应商名称和“IP源卫士”)。
从思科文档:
在不信任的接口上使能DHCP Snoopingfunction后,可以使能IP Source Guardfunction,使能接口的IP源保护function后,交换机将阻塞该接口上接收到的所有IPstream量(DHCP Snooping允许的DHCP报文除外)控制列表(ACL)应用于接口,端口ACL只允许在IP源绑定表中具有源IP地址的IPstream量,并拒绝所有其他stream量。
请参阅: http : //www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_35_se/configuration/guide/swdhcp82.html了解有关ip source-guard和dhcp snooping的更多信息思科交换机。
您可以将某些端口限制为特定的MAC地址。 如果您要将每个端口限制在一个特定的MAC(例如打印机)上,或者使用802.1X来validation其使用,那么您可能就像您一样安全,并保持理智。
我认为,如果一些交换机检测到未经授权的MAC地址,就会提供closures端口的function,因此只要将集线器连接到打印机,就可以使打印机在将其计算机连接到集线器后脱机。
它需要多大的安全/你有什么保护? 这是否可以通过手动检查进行补充(只需将您的头部插入每个房间,寻找与港口相关的奇怪物品即可)。