Filtrare acces tableta Android ce isi schimba adresa MAC
#1
Posted 11 May 2016 - 12:18
Salutare. Am indentificat un angajat in retea cu o tableta Android care isi schimba adresa MAC la fiecare boot sau activare de WIFI.
DHCP-ul e pe un Windows Server iar gatyeway-ul este un Fortigate 100D. Schimbanduse mereu adresa MAC, nu are rost sa pun filtru in DHCP si nici nu are rost sa o rezerv ca o pot filtra ulterior in Fortigate. Practic de cate ori vine cu tabla si baga parola la wifi e ca si cum ar aparea in retea un device nou. Cum as putea sa ii limitez accesul? (schimbarea parolei de wifi nu e o optiune) Multumesc ! |
#2
Posted 11 May 2016 - 12:32
Nu poti sa pui filtru pe MAC sa aiba acces doar ce este pe lista?
|
#3
Posted 11 May 2016 - 12:33
Procedezi invers. Adica in loc sa blochezi niste mac-uri, setezi mac-urile care pot avea acces. Bineinteles si aici pot aparea probleme, omul poate clona un mac din retea si apar conflicte.
|
#4
Posted 11 May 2016 - 12:34
Nu stiu ce optiuni ai tu acolo, dar in loc sa permiti toate dispozitivele in afara de cele interzise, nu poti pune invers? Adica sa permiti accesul doar dispozitivelor dintr-o lista, restul "accesul interzis".
|
#5
Posted 11 May 2016 - 12:35
va trebui sa folosesti un sniffer cu care sa identifici ceva particular .... la acea tableta/telefon
apoi pui filtru pe conexiunea care pica pe filtru. Partea grea este sa pui separi traficul bun de cel rau. testeaza daca poti adauga un sniffer catre echipamentul wireless din retea. In opinia mea filtrarea pe MAC va aduce discutii multe in compania sa. Chiar si asa o sa iti fie greu. Pune un Wireshark si testeaza cat de cat... Edited by Mihai_3, 11 May 2016 - 13:02. |
#6
Posted 11 May 2016 - 13:59
Mihai_3, on 11 mai 2016 - 12:35, said:
va trebui sa folosesti un sniffer cu care sa identifici ceva particular .... la acea tableta/telefon apoi pui filtru pe conexiunea care pica pe filtru. Partea grea este sa pui separi traficul bun de cel rau. testeaza daca poti adauga un sniffer catre echipamentul wireless din retea. In opinia mea filtrarea pe MAC va aduce discutii multe in compania sa. Chiar si asa o sa iti fie greu. Pune un Wireshark si testeaza cat de cat... Orice device care se autentifica si a carui adresa MAC este noua intra automat pe o politica generala de filtrare in Fortigate (IPS, Application Control, DLP, Webfilter, Antivirus). Trecand prin aceste filtre, e greu ca un user nou sa faca "prostii" deoarece e destul de restrictionat. Solutia sa pun toate MAC-urile legitime in whitelist si sa blochez ce e nou nu e ok nu vrea sa blochez pe toate lumea care vine cu un device nou (clienti, invitati, etc) si nu am timp sa urmaresc device-urile legitime. Respectivul cu tableta e paznic in tura de noapte si in loc sa fie atent ce se intampla in cladire pierde vremea pe tableta. Device-urile Android se vad in DHCP sub forma (android-64fe432.....). Firmware-ul care il are pe tableta aia schimba chiar si acest ID deoarece la cateva zile apere sub un nou nume (probabil la reboot) deci nu pot pune filtru nici pe numele device-ului. rumegus, on 11 mai 2016 - 12:33, said:
Procedezi invers. Adica in loc sa blochezi niste mac-uri, setezi mac-urile care pot avea acces. Bineinteles si aici pot aparea probleme, omul poate clona un mac din retea si apar conflicte. Omu doar are noroc de o tableta mai "inteligenta" Edited by catalin22, 11 May 2016 - 13:54. |
#7
Posted 11 May 2016 - 14:06
Daca e paznic in tura de noapte....si tu nu ai alti angajati noapte....pune un filtru de acces pe ore. Doar o idee....
|
#8
Posted 11 May 2016 - 14:10
hades, on 11 mai 2016 - 14:06, said:
Daca e paznic in tura de noapte....si tu nu ai alti angajati noapte....pune un filtru de acces pe ore. Doar o idee.... Acuma nu am chef sa ma deranjeze unu si altu in miez de noapte ca nu poate sa trimita nu stiu ce rapoarte ca nu ii merge netul. Edited by catalin22, 11 May 2016 - 14:12. |
#9
Posted 11 May 2016 - 14:21
#10
Posted 11 May 2016 - 14:45
adrian_r5, on 11 mai 2016 - 14:21, said:
Aceasta "toate lumea" ar trebui sa ai aiba acces la internet printr-un "circuit" separat nu toti la gramada printre servere si alte lucruri importante. Iti dau dreptate inca odata insa ne-am indepartat de la subiect. Pe orice "circuit" ar fi, respectivul tot va pierde noaptea timpul pe tableta in loc sa isi faca treaba. Edited by catalin22, 11 May 2016 - 14:50. |
|
#11
Posted 11 May 2016 - 14:58
catalin22, on 11 mai 2016 - 14:45, said:
Cand ai 5 etaje a cate 300 mp fiecare costurile pentru asa ceva sunt destul de ridicate Stiu ... sint obraznic si vorbesc fara sa cunosc exact situatia ... da' cam asta e realitatea. catalin22, on 11 mai 2016 - 14:45, said:
Pe orice "circuit" ar fi, respectivul tot va pierde noaptea timpul pe tableta in loc sa isi faca treaba. Edited by adrian_r5, 11 May 2016 - 14:59. |
#12
Posted 11 May 2016 - 15:38
Cand ai 5 etaje de acoperit si o faci cu scule de 70 lei , nu inteleg de ce-ti mai faci probleme daca o sa trimita ala raportul la 3 dimineata .
Sa zica mersi ca-l poate trimite si in cele 8 ore de lucru. In alta ordine de idei , o firma care are nevoie de o retea cat de cat functionala , face macar un mic proiect sa vada cam pe unde se incadreaza in costuri . Poate ca iese mai ieftin daca baga ceva bani in scule mai bune . Sa poata ala trimite raportul cand vrea . |
#13
Posted 11 May 2016 - 15:57
ndor, on 11 mai 2016 - 15:38, said:
Cand ai 5 etaje de acoperit si o faci cu scule de 70 lei , nu inteleg de ce-ti mai faci probleme daca o sa trimita ala raportul la 3 dimineata . Sa zica mersi ca-l poate trimite si in cele 8 ore de lucru. In alta ordine de idei , o firma care are nevoie de o retea cat de cat functionala , face macar un mic proiect sa vada cam pe unde se incadreaza in costuri . Poate ca iese mai ieftin daca baga ceva bani in scule mai bune . Sa poata ala trimite raportul cand vrea . Afla ca si cu sculele de 70 RON raportul ala se trimite oricand in conditii foarte bune. Cu scuzele de rigoare pentru ca ma repet, incearca sa urmaresti discutia de la inceput si apoi sa iti exprimi parerea. Am gresit eu ca am scris aici, imposibil sa nu se gaseasca un troll hater care sa le stie pe toate Edited by catalin22, 11 May 2016 - 15:59. |
#14
Posted 11 May 2016 - 16:26
Ok boss. Tu le stii mai bine. Pot eu sa te contrazic ? Sunt doar un amarat de troll !
Succes in gasirea solutiei. |
#15
Posted 11 May 2016 - 16:38
|
#16
Posted 11 May 2016 - 16:47
N-ai cum sa-l restrictionezi daca nu vrei sa schimbi nici parola nici sa pui filtre pe MAC . Sistem de supraveghere cu circuit inchis nu exista ? nu e vreo camera care sa poata fi orientata in asa fel incat sa acopere si locatia paznicului de noapte ?
Daca il ai pe film cand face binging in loc sa-si faca treaba, il chemi a doua zi sa dea cu subsemnatul ce si cum , ii pui in vedere ca este si el supravegheat video si nu cred ca o sa mai ai probleme . Sau poate ca o sa-si gaseasca vreun colt neacoperit de camere si o sa continue sa urmareasca Game of Thrones , cine stie ??? |
#17
Posted 11 May 2016 - 16:50
Ca o scurta idee.
Intr-o retea de tip wireless , blocarea unui device se face cel mai eficient la nivel de AP. Asta daca e potent si AP-ul Deci cat mai aproape de client. Pe urma mai vezi tu cum e cu retele guest si retea interna pentru angajati, antivirusi, firewall si alte alea ... Succes. Edited by ndor, 11 May 2016 - 16:52. |
#18
Posted 11 May 2016 - 18:12
ciudat mi se pare ca un admin de rețea își bate capu cu un paznic care oricum nu are ce sa facă atâtea ore, nu-mi spune ca managerul are o probl cu paznicul ala ca face binging.
|
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users