Kezdőoldal » Számítástechnika » Internet » Ethernetes (vezetékes) csatlak...

Ethernetes (vezetékes) csatlakozáshoz hogyan lehet MAC cím szűrést beállítani?

Figyelt kérdés

Egy kis céges hálózatról van szó. A WiFi az tanúsítvánnyal védett (WPA2-Enterprise), így oda MAC cím szűrésre sincs szükség, de ha behoznak egy laptopot, akkor azzal simán csatlakozni tudnak a hálózathoz, ha kihúzzák a céges gépből az UTP kábelt, és azt bedugják a laptopba. Ezzel az a gond, hogy ha vírusos a gép, amit behoznak, akkor könnyen megfertőzheti a hálózaton megosztott meghajtókat (volt már rá példa).

Eszközök:

Linksys EA2750 (központi router)

TP-LINK TL-SG1008D switch

Synology DiskStation NAS

És ennyi. Rendszergazda konkrétan nincs. Én magam állítottam be ezt így.

Ezekkel az eszközökkel megoldható valahogy a LAN-os MAC cím szűrés?

#internet #szűrés #router #Mac cím #utp #hálózat #LAN #switch

2017. márc. 8. 18:43

1/7 A kérdező kommentje:

Ja, és van még egy Raspberry Pi is, amin a Radius szerver fut a WiFi hitelesítéshez de az gondolom most lényegtelen.

2017. márc. 8. 18:46

2/7 anonim

válasza:

Igen, le van írva a manuálban.

2017. márc. 8. 18:46

Hasznos számodra ez a válasz?

3/7 anonim

válasza:

Az informatikai biztonság egyik első tétele: ha a támadónak fizikai hozzáférése (értsd: rá tud csatlakozni) egy rendszerhez, akkor az már nem elég védett.

De ha tegyük fel a fizikai hozzáférést csak olyanoknak adsz meg, akikben megbízol - és azok "önhibájukon" kívül fertőződnek (LOL) - akkor az alábbiakat teheted:

* A hálózati meghajtóhoz rendelj jelszót, és azt a céges gépeken állítsd be. Ha szükség van publikus hozzáférésre, azt válaszd külön, vagy csak olvasási hozzáférést adj: [link]

* A hálózati meghajtóról adott időközönként csinálj mentést (felhőbe, vagy külső meghajtóra) - így egy esetleges fertőzés esetén helyreállíthatóak az adatok. Ehhez a Synology biztosít alkalmazásokat: [link]

* A gépekre telepíts hálózati védelemmel ellátott vírusvédelmet.

* A hálózati meghajtóra is telepíthető védelem: [link]

A TP-Link switch:

[link]

egy szimpla, asztali, nem menedzselhető switch.

Sajnos a Linksys EA2750 kézikönyvében:

[link]

nem látok utalást se LAN-szintű MAC-szűrésre, se VLAN lehetőségre, se 802.1x-re (azzal lehet autentikálni kábelen keresztül is).

Egyedi firmware-t - ami támogathatná esetleg a MAC-szűrést/VLAN-ozást/802.1x-et - ez a router nem támogat:

* [link]

Vagy szerezni kéne egy olyan routert, ami képes erre - ilyen például a Mikrotik:

[link]

vagy összeraksz egyet és feltelepítesz rá valami egyedi firmware-t - például pfSense-et:

[link]

vagy keresel egy olyan routert, ami megfelel az igényeidnek és telepíthető rá OpenWrt vagy DD-Wrt.

2017. márc. 8. 20:37

Hasznos számodra ez a válasz?

4/7 A kérdező kommentje:

A 802.1x autentikálás jó lenne, mert ugye WiFi-hez csatlakozáshoz most kell egy felhasználói tanúsítvány, meg a root tanúsítvány ami aláírja a felhasználóit. Ha ez megvan, csak akkor enged fel WiFi-re, és mindenkinek, akinek joga van, annak van külön felhasználói tanúsítványa. Ez kábelen is praktikus lenne, de egyenlőre jó lesz egy sima MAC szűrés is.

A MikroTik Router sajnos elég drága, nincs rá keret, plusz még sosem volt dolgom ilyen eszközzel.

Milyen routert ajánlsz, amire felmegy a DD-Wrt vagy az OpenWrt? TP-LINK TL-WR1043ND V2 vagy V3 jó lenne?

2017. márc. 8. 22:16

5/7 A kérdező kommentje:

Ja, és biztonsági mentés természetesen van a fontos fájlokról, ezért sem okozott nagy kárt a vírusfertőzés, de mégis csak jobb kizárni a kéretlen eszközöket.

2017. márc. 8. 22:17

6/7 anonim

válasza:

"A MikroTik Router sajnos elég drága, nincs rá keret"

Van olcsóbb változata is.

Ha nem ragaszkodsz az 5 GHz-es wifihez, van 802.11n-es 2x2 MIMO-s, 2,4 GHz-es rádióval:

[link]

"plusz még sosem volt dolgom ilyen eszközzel."

Kár, pedig a rajta levő szoftver - a RouterOS - egy eléggé jól konfigurálható jószág - sok féle konfigurálási móddal (Web, Telnet/SSH, programozói felület, külön alkalmazás - Winbox), rengeteg beállítási lehetőséggel (SNMP, VLAN, routing, bridging, tüzfalak - mind IP, mind MAC szinten - VPN, Hotspot, PPP(oE/TP) szerver és kliens,...), átlátható menüpontokkal, virtuális gépen is futattható és kipróbálható, bár igaz, ami igaz, némi hálózati ismeret nem árt hozzá. ;)

"TP-LINK TL-WR1043ND V2 vagy V3 jó lenne?"

Abból a szempontból jó, hogy rámegy az OpenWrt

[link]

2017. márc. 9. 00:04

Hasznos számodra ez a válasz?

7/7 A kérdező kommentje:

CCNA Routing and Switching papírom van, így van valamennyi fogalmam a hálózatokról, csak mivel ezeket nem használtam így eléggé berozsdásodtak az ismereteim, plusz gyakorlatom sincs túl sok, mivel akármennyire is szerettem volna, nem sikerült a szakmában elhelyezkednem.

De ha tényleg ennyire jó ez a MikroTik router, akkor megpróbálom megerőltetni magam. Köszönöm a segítséget! :)

2017. márc. 9. 21:45

Kapcsolódó kérdések:

Ha a smart TV használati utasítása cat7 LAN-kábelt ajánl a hálózati csatlakozáshoz, attól még használhatok cat5-ös kábelt? Lehet ebből gond?

Mi a külömbség az ADSL és az Ethernetes wifi router közt?

Az internetszolgáltatóm a Digi. Számitógép bekapcsolásnál rá kell nyomni a digi ikonra az internet csatlakozáshoz. Több mint egy perc múlva csatlakozik a netre....

Power Ethernetes Access Point-ot lehet normál Ethernetes módban használni? Természetesen, ha külön tápellátást biztosítok neki.

Telefonos ADSL internetem van, hogyan oldjam meg, hogy ne kelljen folyton beírni a jelszót a csatlakozáshoz?

Internet csatlakozás: nem jön fel a buborék: a hálózathoz val csatlakozáshoz, további információk szükségesek, hol van az, hogy hitelesítő adatok megadása? HELP!

Számítástechnika főkategória kérdései »

Számítástechnika - Internet kategória kérdései »

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!