我们最近遇到了一个问题,一个用户从家里带了笔记本电脑过来,将其插入网络,试图访问互联网。我知道在端口级别我可以在端口级别设置 MAC 限制,但我想知道是否有办法阻止不兼容的机器将来访问我们的网络?我们目前运行所有 Windows 7 客户端计算机,我想简单地告诉它“如果不是 Windows 7,则无法访问”,但不确定具体如何操作。我们正在运行 AD 环境、2008 及更高版本的 Windows 服务器。
我认为 NAP 或许可以工作,而且它似乎有一个适用于 WinXP 的设置(还有一个适用于 Win7 的设置),但它允许我根据它是否是最新的、是否启用了病毒防护等来禁止/允许访问,而不是根据它是否是 Windows XP 本身。有没有办法可以禁止除我指定的内容之外的任何内容访问网络?
在此先感谢您的帮助!
答案1
功劳应该归于上面提到的那些人,但 802.1X 是控制此类行为的方法。涉及的内容比我直接体验的要多得多,但我在家里使用 RADIUS 服务器对我的无线网络进行身份验证。使用 pfsense,设置起来很容易。
答案2
MAC 身份验证是最弱的身份验证类型,MAC 地址可以在几秒钟内被欺骗,从而授予对网络的完全访问权限,用户所要做的就是找出他的笔记本电脑的 MAC 地址并在他的个人笔记本电脑上欺骗它,这样他就可以完全访问公司网络。
您应该使用 802.1x 来阻止这种情况,在我工作的地方,我们将其与 Cisco 交换机和 Windows NPS 服务器一起部署,只有属于域的设备才能访问网络。我们还在其中使用了证书。
但是,使用 MAC 地址和 802.1x 锁定端口也是防止 MAC 泛洪攻击的好办法。我们已将端口锁定为 8 个 MAC 地址,以减轻 MAC 泛洪攻击的风险。
答案3
首先,确保禁用所有不需要使用的网络端口。
现在介绍另一种替代方案,它对您不起作用,但值得人们考虑。被动操作系统指纹识别可能对想要解决此问题的人有用,但他们可能想阻止非 Windows 用户,或者拥有 MAC 计算机的 LAN 并想阻止其他任何东西。
我将把它作为一个可能适合某些情况的解决方案提出来。但我仍然认为 802.1X 之类的东西是更强大的选择。
它不起作用,因为据我所知,你不能用 osf 过滤 Windows:xp 或类似的东西……或者你可以吗?如果不试的话,我无法判断。
但假设您只想允许 Windows 机器。
1)创建一个Linux桥。 http://bwachter.lart.info/linux/bridges.html
2)加载被动操作系统指纹模块并使用如下规则:
iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j 接受
阅读更多:如何使用 iptables 阻止/允许特定操作系统发送的数据包?
然后,该桥接器将插入您的网络和路由器之间。如果您的网络上已有 Linux 路由器,并用作防火墙/网关,则只需将 osf 模块规则添加到 iptables 即可。
不幸的是,由于操作系统指纹识别是基于操作系统如何设置初始 TTL、窗口大小以及 TCP SYN 数据包中的其他一些信息,因此它只能与 TCP 配合使用。此外,它可以被破解。因此它并不完全安全。
答案4
我会设置 MAC 过滤,因为这是最安全的路由,你可以确保捕获所有内容。为什么你不想设置 MAC 过滤器?