iT邦幫忙

0

私接網路設備

網路孔 資訊安全 lan
cowbay1022 2019-04-19 09:35:254601 瀏覽

請教各位大大:
公司內有多出來的網路孔,擔心有人私接電腦會有安全上的漏洞。
是否有方法可以使未經控管的電腦完全無法與內網連上?
謝謝!

看更多先前的討論...收起先前的討論...
竹本立里 iT邦好手 1 級 ‧ 2019-04-19 09:38:27 檢舉
802.1x ??
slime iT邦大師 1 級 ‧ 2019-04-19 09:40:40 檢舉
1. 換網管式設備, 對於未使用的 port disable .
2. 如果區網是用 DHCP 分配 IP , 限制只有註冊過的設備才能取得 IP .
goodnight iT邦研究生 2 級 ‧ 2019-04-20 10:10:34 檢舉
是想限制上網際網路是嗎? 還是連區網都限制?
我公司都用固定 ip + mac 偵測, 非法設備不能連網使用
cowbay1022 iT邦新手 5 級 ‧ 2019-04-22 09:40:00 檢舉
主要是想針對區網做限制
goodnight iT邦研究生 2 級 ‧ 2019-04-23 00:10:08 檢舉
你的意思是跟我一樣, 非法設備連區網也禁止嗎?
那就用 dhcp 依 mac 配發ip, 但缺點就是管理時複雜了一點
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

6 個回答

5
林門神JanusLin
iT邦超人 1 級 ‧ 2019-04-19 10:02:19

802.1x 驗證
或是 Switch
IP-MAC-Port-VLAN Binding

https://ithelp.ithome.com.tw/upload/images/20190419/20001416l0fD58WcOR.png

竹本立里 iT邦好手 1 級 ‧ 2019-04-19 10:54:22 檢舉

Switch
IP-MAC-Port-VLAN Binding
這樣如果公司有多台Switch 是不是要一台一台設定
有中控可以處理嗎??

林門神JanusLin iT邦超人 1 級 ‧ 2019-04-19 11:04:08 檢舉

有機會

goodnight iT邦研究生 2 級 ‧ 2019-04-23 00:13:33 檢舉

竹本, 是的, 你可以先用 dhcp 自動配發, 讓 dhcp收集 mac+ip, 到時候你就可以理處, 也可以手動, 我記得好像有軟體可以收集對應的 mac+pc name, 要看你的設備方便性到哪
我公司的設備可以自動建立清單, 對應完成後, 改成依mac指定配發, 全公司的電腦要全開

登入發表回應
1
mytiny
iT邦超人 1 級 ‧ 2019-04-19 17:00:36

  1. 首先,使用802.1x,可以
    但是若Client眾多,就需要用憑證中心
    且user可能會需要到點服務
    交換器及無線基地台要支援802.1x

  2. 交換器綁定 MAC、IP、port
    請先考慮使用者習性,會不會不通就亂插
    亂插,MIS就會頭大,設每台交換器也煩人

  3. 網管軟體或身分認證系統
    通常算User數量,恐怕不便宜

推薦:Fortinet資安鐵三角及BYOD功能
簡單、方便、省時、省力、省錢

看更多先前的回應...收起先前的回應...
pis520 iT邦新手 1 級 ‧ 2019-04-20 05:53:26 檢舉

個人愚見~這也不行,那也花錢...最簡單的方法,就是找出那條線,直接拔掉。你不說我不知,沒人知道。

goodnight iT邦研究生 2 級 ‧ 2019-04-20 10:13:05 檢舉

哈哈哈, 再接上 24v 電源是嗎?

mytiny iT邦超人 1 級 ‧ 2019-04-20 11:13:44 檢舉

@pis520
可惜有時就是找不出那條線(或設備)
公司網路的准入控制其實是件複雜的事
"不花錢的"有時最貴
要看做到哪個程度

tsang iT邦新手 1 級 ‧ 2019-04-21 02:59:11 檢舉

我也是這樣,找出那條線,直接拔掉,有一種工具叫做尋綫器的,可找出那條線,立卽標示好,正好整理一下。

登入發表回應
1
kiss515520
iT邦新手 5 級 ‧ 2019-04-20 09:48:42

1.架一台Linux DHCP 來綁MAC
2.AD server GPO 套下去,可把區域網路鎖起來,或使用者權限降為PowerUser
3.對於Internet 可架設一台Linux Squid來控管IP
(但必須先架一台Linux DHCP來派送固定IP)

看更多先前的回應...收起先前的回應...
kiss515520 iT邦新手 5 級 ‧ 2019-04-20 09:49:12 檢舉

整體下來,免費

竹本立里 iT邦好手 1 級 ‧ 2019-04-22 10:01:36 檢舉

外來裝置呢?? 如筆電 ,AP......???

想要在區網的部分就防堵, 可網管的switch 一定避免不了

goodnight iT邦研究生 2 級 ‧ 2019-04-23 00:15:03 檢舉

依mac配發, 就可以封鎖非法設備了

竹本立里 iT邦好手 1 級 ‧ 2019-04-25 16:07:32 檢舉

外來筆電呢, 不管DHCP 我自己手動設定IP 區網也能封鎖??

登入發表回應
2
CyberSerge
iT邦好手 1 級 ‧ 2019-04-20 10:23:18

之前寫過網路存取管制系統 NAC的介紹
https://ithelp.ithome.com.tw/articles/10196998

可以試試開源的openNAC,PacketFence

登入發表回應
1
nansen
iT邦新手 2 級 ‧ 2019-04-20 13:14:37

非廣告,以前有分析過類似的需求
https://imgur.com/kPSz2TF

https://imgur.com/mxKSM0A

https://imgur.com/UHsrQYW

有一種內網IP/MAC管理機制不需要修改switch或架構
使用Ethernet L2的技術,只要把要管理的網段給Tag到這台設備就可以了
台廠有台眾UPAS(以前叫做ARPScanner),進口的有IPScan,不過都是By IP數量授權

登入發表回應
1
灰灰
iT邦新手 1 級 ‧ 2019-04-22 14:15:44

真誠的建議!!
如樓上所說的,找出來拔掉.

這是最省也最快,同時也是網管之後控管的鋪陳.

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙