Comment empêcher un utilisateur de brancher une machine XP sur le réseau

Le crédit devrait aller à ceux qui l'ont mentionné ci-dessus, mais 802.1X est la manière de contrôler ce type de comportement. Il y a beaucoup plus d'éléments impliqués que ce que j'ai d'expérience directe, mais j'utilise un serveur RADIUS à la maison pour l'authentification sur mon réseau sans fil. Avec pfsense, c'était facile à configurer.

L'authentification MAC est le type d'authentification le plus faible, les adresses MAC peuvent être contrefaites en quelques secondes donnant un accès complet au réseau, tout ce que l'utilisateur a à faire est de trouver l'adresse MAC de son ordinateur portable et de la contrefaire sur son ordinateur personnel pour avoir un accès complet au réseau d'entreprise.

Vous devriez utiliser le 802.1x pour arrêter cela, là où je travaille nous l'avons déployé avec des commutateurs Cisco et un serveur NPS Windows, seuls les appareils faisant partie du domaine ont accès au réseau. Nous avons également utilisé des certificats avec cela.

Cependant, verrouiller un port par les adresses MAC à côté du 802.1x est aussi une bonne idée pour prévenir les attaques de débordement MAC. Nous avons limité les ports à 8 adresses MAC pour réduire le risque d'attaque par débordement MAC.

Tout d'abord, assurez-vous de désactiver tous les ports réseau qui n'ont pas besoin d'être utilisés.

Et maintenant, passons à une autre alternative qui ne fonctionnera pas pour vous mais pour les gens là-bas à penser. Le fingerprinting passif des systèmes d'exploitation peut fonctionner pour quelqu'un voulant une solution à ce problème mais ils veulent peut-être bloquer les utilisateurs non-Windows, ou avoir un LAN de MAC et vouloir bloquer tout le reste.

Je vais le jeter là comme une solution possible qui peut convenir à certaines situations. Je pense toujours qu'une option plus robuste comme le 802.1X est préférable.

Ça ne marche pas parce que d'après ce que je vois, vous ne pouvez pas filtrer avec osf avec Windows:xp ou quelque chose... ou pouvez-vous? Je ne peux pas le dire sans l'essayer.

Imaginons alors que vous vouliez simplement autoriser uniquement les machines Windows.

1) Créez un pont Linux. http://bwachter.lart.info/linux/bridges.html

2) Chargez le module de fingerprinting OS passif et utilisez des règles comme:

iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j ACCEPT

En savoir plus : Comment bloquer/autoriser les paquets envoyés par un système d'exploitation spécifique avec iptables ?

Cette machine pont est ensuite insérée entre votre réseau et le routeur. Si vous avez déjà un routeur Linux sur le réseau que vous utilisez comme pare-feu/passerelle, vous pourriez simplement ajouter les règles du module osf à iptables.

Malheureusement, comme le fingerprinting OS est basé sur la manière dont un OS définit le TTL initial, la taille de la fenêtre et quelques autres éléments dans les paquets TCP SYN, cela ne fonctionnera qu'avec le TCP. De plus, cela peut être contourné. Donc ce n'est pas entièrement sécurisé.

Je configurerais le filtrage MAC, car c'est le moyen le plus sécurisé, et vous pouvez être sûr de tout attraper. Pourquoi ne voulez-vous pas configurer un filtre MAC ?