Ciao a tutti, avrei un quesito da sottoporvi:

lavoro in un'azienda con una cinquantina di dipendenti, active directory, qualche switch e un firewall. Poichè ci sono molti visitatori, volevo implementare un sistema in modo che chi si connette alla rete aziendale tramite ethernet (dhcp abilitato) non abbia accesso alla rete interna, quindi mi servirebbe un controllo degli accessi.
Qualcuno mi saprebbe dire qualche soluzione (sia hardware che software) da poter adottare? Spero di aver spiegato bene il problema, per eventuali domande chiedete pure!

Grazie mille

Marco

Un firewall con una rete guest..

Inviato dal mio MB525

Esatto. Un firewall hardware.

Tenuto conto che hai il dhcp abilitato potresti impostare un range di indirizzi ip disponibili da associare agli utenti della rete "ospite".

Tenuto conto che hai il dhcp abilitato potresti impostare un range di indirizzi ip disponibili da associare agli utenti della rete "ospite".
Meglio metterli su un'interfaccia completamente diversa IMHO

Meglio metterli su un'interfaccia completamente diversa IMHO

Si. Una precauzione in più. ;)

Meglio metterli su un'interfaccia completamente diversa IMHO

Potresti spiegarti meglio? Grazie. :)

Ti serve un firewall hardware con tre interfacce (fisiche o virtuali poco importa). Una la dedichi alla LAN e una alla rete Guest, poi fai una regola sul firewall che blocca tutto il traffico da Guest a LAN..

Ti serve un firewall hardware con tre interfacce (fisiche o virtuali poco importa). Una la dedichi alla LAN e una alla rete Guest, poi fai una regola sul firewall che blocca tutto il traffico da Guest a LAN..

Ma non esiste una rete guest. L'ospite può connettersi ad un qualsiasi attacco ethernet in azienda, e il dhcp gli assegna un indirizzo ip. Mi servirebbe implementare un sistema che fa un controllo degli accessi o a livello mac (quindi ad esempio se il mac-address è nella lista il pc può avere un indirizzo ip, un pò scomoda come soluzione) oppure a livello di account, non so se mi sono spiegato.

Ok, il mio era riferito alla wireless, se ti serve anche cablato il discorso cambia un po: Il DHCP non c'entra, se sono fisicamente nello stesso switch potranno comunque vedere gli altri pc/server della rete a meno che non definisci delle vlan per ogni singola porta dello switch. Poi metti tutta la vlan sotto la 3 interfaccia e sei a posto..

Comunque ti consiglio di fare collegare gli ospiti alla wireless che tanto dovranno utilizzare solo internet così è molto più semplice..

Inviato dal mio MB525

Ok, il mio era riferito alla wireless, se ti serve anche cablato il discorso cambia un po: Il DHCP non c'entra, se sono fisicamente nello stesso switch potranno comunque vedere gli altri pc/server della rete a meno che non definisci delle vlan per ogni singola porta dello switch. Poi metti tutta la vlan sotto la 3 interfaccia e sei a posto..

Comunque ti consiglio di fare collegare gli ospiti alla wireless che tanto dovranno utilizzare solo internet così è molto più semplice..

Inviato dal mio MB525

Lo so che è più semplice, però comunque non è sicuro che chiunque si colleghi ad una torretta possa avere accesso alla rete interna. Non so se con le VLAN si possa risolvere il problema, forse sarebbe meglio adottare qualcosa a livello di autenticazione.

Ma come fai a far autenticare un utente sullo switch??
Al massimo puoi non assegnargli un indirizzo sul DHCP, lasciando indirizzi solo ai MAC Address interni..

Ma come fai a far autenticare un utente sullo switch??
Al massimo puoi non assegnargli un indirizzo sul DHCP, lasciando indirizzi solo ai MAC Address interni..

Ma non devono autenticarsi sullo switch!!! :D

Ho creato la discussione apposta, vorrei sapere qualche metodo per risolvere il problema!!! :D

Imposti un range di indirizzi ip da fornire ai clienti che si connetteranno come meglio conviene: wi-fi o lan.

Ovviamente il predetto range di indirizzi ip verrà configurato in maniera tale da risultare isolato dalla rete lan esistente.

In linea di massima la tua esigenza dovrebbe essere questa da me esposta.

Sì ma per separarli a livello ip gli servono comunque le vlan (o switch diversi..)

Inviato dal mio MB525

Imposti un range di indirizzi ip da fornire ai clienti che si connetteranno come meglio conviene: wi-fi o lan.

Ovviamente il predetto range di indirizzi ip verrà configurato in maniera tale da risultare isolato dalla rete lan esistente.

In linea di massima la tua esigenza dovrebbe essere questa da me esposta.

Il problema "sicurezza" rimane ugualmente, perchè anche se una parte della rete viene isolata, sarà comunque possibile collegarsi ai vari punti di connessione ai quali fanno accesso gli utenti dell'azienda senza autenticazione...non so se mi sono spiegato.

Le soluzioni sono:
- Se vuoi tenere i tuoi switch devi impostare il DHCP server in modo che abbia delle reservation sulla classe normale per i device "conosciuti" e a tutti gli altri rilasci un IP su un'altra classe. NB: Se uno forza l'IP manuale sulla stessa classe può raggiungere tranquillamente i server
- Devi installare (o configurare) degli switch managed in modo da avere due VLAN, in modo che le porte a cui sono collegati normalmente i pc sono su una e le altre porte libere sono sull'altra. NB: Se uno collega il notebook nella presa dove prima c'era un pc ovviamente è in LAN

Altri modi (compresa autenticazione) non ne esistono almeno a livello di rete. Puoi fare un captive portal sul firewall ma quello non c'entra niente con la LAN locale.

Il problema "sicurezza" rimane ugualmente, perchè anche se una parte della rete viene isolata, sarà comunque possibile collegarsi ai vari punti di connessione ai quali fanno accesso gli utenti dell'azienda senza autenticazione...non so se mi sono spiegato.

Cosa intendi per "vari punti di connessione"?

Non basta isolare il range "ospite" in maniera tale da non accede alle risorse di rete?

Lo so che è più semplice, però comunque non è sicuro che chiunque si colleghi ad una torretta possa avere accesso alla rete interna. Non so se con le VLAN si possa risolvere il problema, forse sarebbe meglio adottare qualcosa a livello di autenticazione.

questo lo puoi sempre risolvere con uno switch managed

lasci per gli ospiti il wifi e blocchi tutte le porte ethernet per accettare connessioni solo da uno specifico mac address