Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Sumele impuse la stat se regasesc...

Sfat secțiune lemn acoperi&#...

Electronica pentru copii
 Anouk - SACRIFICE

CASS 10% pe dobanda depozite banca?

Criza de generatoare electrice HY...

Montaj semineu pe pardoseala parc...
 FATMA -

Institutia medierii

Mașini mici fașneț...

La multi ani @persona695!
 La Multi Ani de Sfantul Andrei!

Trebuie sa economisim energie sau...

That '90s Show (2023 - ...)

Recomandare cablu display-port (p...
 

Filtrare acces tableta Android ce isi schimba adresa MAC

- - - - -
  • Please log in to reply
21 replies to this topic

#1
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 660
  • Înscris: 16.03.2006
Salutare. Am indentificat un angajat in retea cu o tableta Android care isi schimba adresa MAC la fiecare boot sau activare de WIFI.
DHCP-ul e pe un Windows Server iar gatyeway-ul este un Fortigate 100D. Schimbanduse mereu adresa MAC, nu are rost sa pun filtru in DHCP si nici nu are rost sa o rezerv ca o pot filtra ulterior in Fortigate.
Practic de cate ori vine cu tabla si baga parola la wifi e ca si cum ar aparea in retea un device nou.
Cum as putea sa ii limitez accesul? (schimbarea parolei de wifi nu e o optiune)

Multumesc !

#2
sandel_u

sandel_u

    Senior Member

  • Grup: Senior Members
  • Posts: 3,663
  • Înscris: 21.11.2009
Nu poti sa pui filtru pe MAC sa aiba acces doar ce este pe lista?

#3
rumegus

rumegus

    Guru Member

  • Grup: Senior Members
  • Posts: 13,349
  • Înscris: 03.04.2011
Procedezi invers. Adica in loc sa blochezi niste mac-uri, setezi mac-urile care pot avea acces. Bineinteles si aici pot aparea probleme, omul poate clona un mac din retea si apar conflicte.

#4
Getodacul

Getodacul

    ±

  • Grup: Senior Members
  • Posts: 2,823
  • Înscris: 03.03.2004
Nu stiu ce optiuni ai tu acolo, dar in loc sa permiti toate dispozitivele in afara de cele interzise, nu poti pune invers? Adica sa permiti accesul doar dispozitivelor dintr-o lista, restul "accesul interzis".

#5
Mihai_3

Mihai_3

    我會回來的...

  • Grup: Senior Members
  • Posts: 9,734
  • Înscris: 26.04.2007
va trebui sa folosesti un sniffer cu care sa identifici ceva particular .... la acea tableta/telefon
apoi pui filtru pe conexiunea care pica pe filtru.

Partea grea este sa pui separi traficul bun de cel rau.
testeaza daca poti adauga un sniffer catre echipamentul wireless din retea.

In opinia mea filtrarea pe MAC va aduce discutii multe in compania sa.
Chiar si asa o sa iti fie greu.

Pune un Wireshark si testeaza cat de cat...

Edited by Mihai_3, 11 May 2016 - 13:02.


#6
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 660
  • Înscris: 16.03.2006

 Mihai_3, on 11 mai 2016 - 12:35, said:

va trebui sa folosesti un sniffer cu care sa identifici ceva particular .... la acea tableta/telefon
apoi pui filtru pe conexiunea care pica pe filtru.

Partea grea este sa pui separi traficul bun de cel rau.
testeaza daca poti adauga un sniffer catre echipamentul wireless din retea.

In opinia mea filtrarea pe MAC va aduce discutii multe in compania sa.
Chiar si asa o sa iti fie greu.

Pune un Wireshark si testeaza cat de cat...

Orice device care se autentifica si a carui adresa MAC este noua intra automat pe o politica generala de filtrare in Fortigate (IPS, Application Control, DLP, Webfilter, Antivirus). Trecand prin aceste filtre, e greu ca un user nou sa faca "prostii" deoarece e destul de restrictionat.
Solutia sa pun toate MAC-urile legitime in whitelist si sa blochez ce e nou nu e ok nu vrea sa blochez pe toate lumea care vine cu un device nou (clienti, invitati, etc) si nu am timp sa urmaresc device-urile legitime.
Respectivul cu tableta e paznic in tura de noapte si in loc sa fie atent ce se intampla in cladire pierde vremea pe tableta.
Device-urile Android se vad in DHCP sub forma (android-64fe432.....). Firmware-ul care il are pe tableta aia schimba chiar si acest ID deoarece la cateva zile apere sub un nou nume (probabil la reboot) deci nu pot pune filtru nici pe numele device-ului.

 rumegus, on 11 mai 2016 - 12:33, said:

Procedezi invers. Adica in loc sa blochezi niste mac-uri, setezi mac-urile care pot avea acces. Bineinteles si aici pot aparea probleme, omul poate clona un mac din retea si apar conflicte.
Exclus ca respectivul sa stie sa isi cloneze MAC-ul si sau macar sa aiba acces la un MAC legitim sau sa stie ce e ala un MAC :)
Omu doar are noroc de o tableta mai "inteligenta"

Edited by catalin22, 11 May 2016 - 13:54.


#7
hades

hades

    Member

  • Grup: Members
  • Posts: 891
  • Înscris: 16.12.2003
Daca e paznic in tura de noapte....si tu nu ai alti angajati noapte....pune un filtru de acces pe ore. Doar o idee....

#8
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 660
  • Înscris: 16.03.2006

 hades, on 11 mai 2016 - 14:06, said:

Daca e paznic in tura de noapte....si tu nu ai alti angajati noapte....pune un filtru de acces pe ore. Doar o idee....
M-am gandit si la asta doar ca am cativa "oameni ai muncii" care baga la greu ore suplimentare, oneori (mai rar ce-i drept) si pana la 2-3 dimineata Posted Image
Acuma nu am chef sa ma deranjeze unu si altu in miez de noapte ca nu poate sa trimita nu stiu ce rapoarte ca nu ii merge netul.

Edited by catalin22, 11 May 2016 - 14:12.


#9
adrian_r5

adrian_r5

    23:58

  • Grup: Senior Members
  • Posts: 11,375
  • Înscris: 23.04.2007

 catalin22, on 11 mai 2016 - 13:59, said:

toate lumea care vine cu un device nou (clienti, invitati, etc)
Aceasta "toate lumea" ar trebui sa ai aiba acces la internet printr-un "circuit" separat nu toti la gramada printre servere si alte lucruri importante.

#10
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 660
  • Înscris: 16.03.2006

 adrian_r5, on 11 mai 2016 - 14:21, said:

Aceasta "toate lumea" ar trebui sa ai aiba acces la internet printr-un "circuit" separat nu toti la gramada printre servere si alte lucruri importante.
Corect, ai dreptate. Normal ar fi un WLAN separat pentru guest. Pentru asta insa ai nevoie de niste AP-uri care sa stie sa faca asa ceva sau de 2 retele WLAN separate. Cand ai 5 etaje a cate 300 mp fiecare costurile pentru asa ceva sunt destul de ridicate. Cred ca stii cum se pune problema costurilor. Momentan AP-urile mele sunt niste TP Link-uri de 70 RON, sa o rezolvam cu costuri cat mai mici, sa fie bine sa nu fie rau. Posted Image

Iti dau dreptate inca odata insa ne-am indepartat de la subiect. Pe orice "circuit" ar fi, respectivul tot va pierde noaptea timpul pe tableta in loc sa isi faca treaba.

Edited by catalin22, 11 May 2016 - 14:50.


#11
adrian_r5

adrian_r5

    23:58

  • Grup: Senior Members
  • Posts: 11,375
  • Înscris: 23.04.2007

 catalin22, on 11 mai 2016 - 14:45, said:

Cand ai 5 etaje a cate 300 mp fiecare costurile pentru asa ceva sunt destul de ridicate
Daca n-ai bani sa stai in vila te muti in garsoniera Posted Image
Stiu ... sint obraznic si vorbesc fara sa cunosc exact situatia ... da' cam asta e realitatea.

 catalin22, on 11 mai 2016 - 14:45, said:

Pe orice "circuit" ar fi, respectivul tot va pierde noaptea timpul pe tableta in loc sa isi faca treaba.
Da' tu vei dormi linistit ;)

Edited by adrian_r5, 11 May 2016 - 14:59.


#12
ndor

ndor

    Senior Member

  • Grup: Senior Members
  • Posts: 3,883
  • Înscris: 21.04.2005
Cand ai 5 etaje de acoperit si o faci cu scule de 70 lei , nu inteleg de ce-ti mai faci probleme daca o sa trimita ala raportul la 3 dimineata .
Sa zica mersi ca-l poate trimite si in cele 8 ore de lucru.
In alta ordine de idei , o firma care are nevoie de o retea cat de cat functionala , face macar un mic proiect sa vada cam pe unde se incadreaza in costuri .
Poate ca iese mai ieftin daca baga ceva bani in scule mai bune . Sa poata ala trimite raportul cand vrea .

#13
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 660
  • Înscris: 16.03.2006

 ndor, on 11 mai 2016 - 15:38, said:

Cand ai 5 etaje de acoperit si o faci cu scule de 70 lei , nu inteleg de ce-ti mai faci probleme daca o sa trimita ala raportul la 3 dimineata .
Sa zica mersi ca-l poate trimite si in cele 8 ore de lucru.
In alta ordine de idei , o firma care are nevoie de o retea cat de cat functionala , face macar un mic proiect sa vada cam pe unde se incadreaza in costuri .
Poate ca iese mai ieftin daca baga ceva bani in scule mai bune . Sa poata ala trimite raportul cand vrea .
Las-o balta. Ar trebui sa citesti de la inceput. Subiectul era altul, nu de ce am eu AP-ul ieftine.
Afla ca si cu sculele de 70 RON raportul ala se trimite oricand in conditii foarte bune.
Cu scuzele de rigoare pentru ca ma repet, incearca sa urmaresti discutia de la inceput si apoi sa iti exprimi parerea.
Am gresit eu ca am scris aici, imposibil sa nu se gaseasca un troll hater care sa le stie pe toate Posted Image

Edited by catalin22, 11 May 2016 - 15:59.


#14
ndor

ndor

    Senior Member

  • Grup: Senior Members
  • Posts: 3,883
  • Înscris: 21.04.2005
Ok boss. Tu le stii mai bine. Pot eu sa te contrazic ? Sunt doar un amarat de troll !
Succes in gasirea solutiei.

#15
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 660
  • Înscris: 16.03.2006

 ndor, on 11 mai 2016 - 16:26, said:

Ok boss. Tu le stii mai bine. Pot eu sa te contrazic ? Sunt doar un amarat de troll !
Succes in gasirea solutiei.
Eu nu am vrut sa jignesc pe nimeni, dar problema pentru care am scris aici nu avea legatura cu pretul sau calitatea echipamentelor.

#16
Acrisios

Acrisios

    Active Member

  • Grup: Validating
  • Posts: 1,562
  • Înscris: 28.03.2015
N-ai cum sa-l restrictionezi daca nu vrei sa schimbi nici parola nici sa pui filtre pe MAC . Sistem de supraveghere cu circuit inchis nu exista ? nu e vreo camera care sa poata fi orientata in asa fel incat sa acopere si locatia paznicului de noapte ?

Daca il ai pe film cand face binging in loc sa-si faca treaba, il chemi a doua zi sa dea cu subsemnatul ce si cum , ii pui in vedere ca este si el supravegheat video si nu cred ca o sa mai ai probleme .

Sau poate ca o sa-si gaseasca vreun colt neacoperit de camere si o sa continue sa urmareasca Game of Thrones , cine stie ???

#17
ndor

ndor

    Senior Member

  • Grup: Senior Members
  • Posts: 3,883
  • Înscris: 21.04.2005
Ca o scurta idee.
Intr-o retea de tip wireless , blocarea unui device se face cel mai eficient la nivel de AP. Asta daca e potent si AP-ul  Deci cat mai aproape de client.
Pe urma mai vezi tu cum e cu retele guest si retea interna pentru angajati, antivirusi, firewall si alte alea ...
Succes.

Edited by ndor, 11 May 2016 - 16:52.


#18
iulian0512

iulian0512

    Member

  • Grup: Validating
  • Posts: 756
  • Înscris: 03.01.2010
ciudat mi se pare ca un admin de rețea își bate capu cu un paznic care oricum nu are ce sa facă atâtea ore, nu-mi spune ca managerul are o probl cu paznicul ala ca face binging.

Anunturi

Second Opinion Second Opinion

Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale.

Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate