Protezione lan da personale non autenticato

misterx · 30-10-2009, 06:06

mi chiedevo se esiste un programma che impedisca a personale non autenticato di navigare nella mia lan.

L'idea mi è venuta leggendo qua e la e in definitiva, quando un utente si connette alla mia lan se questo viene riconosciuto viene lasciato passare altrimenti i suoi pacchetti vengono bloccati.

Forse quello che sto chiedendo è una sorta di router software ?
Credo che sia il metodo adottato negli hotspot.

Tenete presente che ho un server DHCP e non ho un proxy

grazie 1000

slowped · 30-10-2009, 08:10

Quote:

Originariamente inviato da misterx

mi chiedevo se esiste un programma che impedisca a personale non autenticato di navigare nella mia lan.

Prima di tutto dovresti specificare se l'accesso degli utenti alla tua lan avviene via cavo oppure tramite wireless.

Nel primo caso, la vedo dura senza interventi strutturali.

Nel secondo caso, è sufficiente proteggere l'accesso alla rete wireless tramite WEP (obsoleto e facilmente aggirabile da chi ha un minimo di conoscenze) oppure WPA (decisamente più robusto).

misterx · 30-10-2009, 08:24

Quote:

Originariamente inviato da slowped

Prima di tutto dovresti specificare se l'accesso degli utenti alla tua lan avviene via cavo oppure tramite wireless.

Nel primo caso, la vedo dura senza interventi strutturali.

Nel secondo caso, è sufficiente proteggere l'accesso alla rete wireless tramite WEP (obsoleto e facilmente aggirabile da chi ha un minimo di conoscenze) oppure WPA (decisamente più robusto).

ciao

dunque, nel primo caso ho un server di dominio e quindi posso eventualmente inibire i PC che non devono uscire dalla LAN.

Chi si connette via cavo però, va via DHCP ed ottenuto un indirizzo IP esce tranquillamente dalla LAN, è questo passaggio che desidero controllare.

Nel secondo caso uso già la WAP ma non mi soddisfa in quanto se viene data la stessa chiave ad un'altra persona non autorizzata questa vi entra.

Io pensavo ad un sistema simile a quello usato negli hotspot dove crei delle credenziali a tempo, esempio 1 giorno e poi scaduto tale tempo non puoi più entrare.

gd350turbo · 30-10-2009, 08:29

Si può fare un filtro per mac address... Se temi che si colleghi un computer "esterno"...
Comunque le scelte possibili sono tantissime...
Io ho un router professionale Draytek 2820, che ha una miriade di funzioni di controllo, che io attualmente non uso..

slowped · 30-10-2009, 08:50

Quote:

Originariamente inviato da misterx

Chi si connette via cavo però, va via DHCP ed ottenuto un indirizzo IP esce tranquillamente dalla LAN, è questo passaggio che desidero controllare.

Hai omesso di indicare come sei connesso a Internet (hai un router? Hai PC che condivide la connessione a Internet?) le soluzioni possibili infatti dipendono anche dagli strumenti che hai a disposizione. Altro fattore importante è di servizio che vuoi offrire.

Da quanto hai detto il problema è rappresentato dalle macchine che non sono nel dominio e che, autoconfigurandosi con il DHCP escono tranquillamente in rete utilizzando il tuo default gateway. Se quest'ultimo ha un firewall integrato, potresti, riconfigurando opportunamente il server dhcp, negare l'accesso alle macchine fuori del dominio. Dovresti, utilizzando le "reservations" del sever dhcp, assegnare ai client del dominio determinati indirizzi IP e poi configurare il firewall in modo che blocchi l'accesso a tutti gli altri indirizzi.

Quote:

Originariamente inviato da misterx

Io pensavo ad un sistema simile a quello usato negli hotspot dove crei delle credenziali a tempo, esempio 1 giorno e poi scaduto tale tempo non puoi più entrare.

Quelle degli hotspot sono in genere soluzioni sviluppate appositamente; esse in genere richiedono l'installazione di un server dedicato che faccia il lavoro da te descritto. Se gli utenti che accedono alla tua rete sono tutti noti a priori (ossia non hai "ospiti" temporanei) potresti pensare all'utilizzo del protocollo 802.1x (autenticazione degli accessi alla rete) con gli utenti che si autenticano sul server LDAP di Active Directory. Occorre però che i tuoi Access Point supportino l'802.1x

Altra soluzione è quella di utilizzare un proxy server, in questo caso avresti la massima flessibilità nella scelta dei meccanismi di autenticazione.

Chiaramente, la soluzione migliore (come consigliato da gd350turbo nel messaggio precedente) è quella di utilizzare un router "professionale".

misterx · 30-10-2009, 09:56

Quote:

Originariamente inviato da slowped

Da quanto hai detto il problema è rappresentato dalle macchine che non sono nel dominio e che, autoconfigurandosi con il DHCP escono tranquillamente in rete utilizzando il tuo default gateway.

su internet usciamo attraverso un modem/firewall sul quale però non voglio agire in quanto viene gestito da un provider esterno.
Per quanto riguarda il parco macchine interno, per quelli sotto dominio non ho problemi, il problema è come dici tu rappresentato da quelli che usano DHCP. Da qui l'idea di creare un finto gateway che reindirizzi ad un server(filtro) il quale se ti riconosce ti fa uscire dalla LAN altrimenti non esci.
Il DHCP fornisce un IP a chi è fuori dal dominio, questo viene reindirizzato sul gateway(filtro) che fa la verifica.

p.s.
una volta avevamo un proxy ma è stato eliminato per ragioni più di tipo burocratico che altro.

slowped · 30-10-2009, 10:17

Quote:

Originariamente inviato da misterx

Da qui l'idea di creare un finto gateway che reindirizzi ad un server(filtro) il quale se ti riconosce ti fa uscire dalla LAN altrimenti non esci.
Il DHCP fornisce un IP a chi è fuori dal dominio, questo viene reindirizzato sul gateway(filtro) che fa la verifica.

Su questo tipo di soluzione non c'è che l'imbarazzo della scelta sia in termini di tipologia di soluzione (firewall hardare o software che gira su un PC/server) sia in termini di prodotti (vari produttori di firewall e vari software (open source o proprietari, gratuiti e commerciali, su piattaforma MS o GNU/Linux). Purtroppo non sto molto dietro a questo tipo di prodotti (io ho risolto con Squid sotto Linux che fa l'autenticazione su server Active Directory e non ho cercato altro). Sicuramente ci sarà qualche altro utente meglio informato che potrà consigliarti.

Quote:

Originariamente inviato da misterx

una volta avevamo un proxy ma è stato eliminato per ragioni più di tipo burocratico che altro.

Se i problemi burocratici a cui hai fatto riferimento sono il rispetto delle norme del D. Lgs. 196/2003 ("Codice in materia di protezione dei dati personali"), temo che essi si ripresenteranno anche con buona parte delle possibili soluzioni ai problemi di accesso oggetto di questa discussione.

misterx · 30-10-2009, 10:23

grazie 1000 per le risposte.

30-10-2009, 06:06	#1
misterx Senior Member Iscritto dal: Apr 2001 Città: Milano Messaggi: 3736	Protezione lan da personale non autenticato mi chiedevo se esiste un programma che impedisca a personale non autenticato di navigare nella mia lan. L'idea mi è venuta leggendo qua e la e in definitiva, quando un utente si connette alla mia lan se questo viene riconosciuto viene lasciato passare altrimenti i suoi pacchetti vengono bloccati. Forse quello che sto chiedendo è una sorta di router software ? Credo che sia il metodo adottato negli hotspot. Tenete presente che ho un server DHCP e non ho un proxy grazie 1000

30-10-2009, 08:29	#4
gd350turbo Senior Member Iscritto dal: Feb 2003 Città: Mo<->Bo Messaggi: 44588	Si può fare un filtro per mac address... Se temi che si colleghi un computer "esterno"... Comunque le scelte possibili sono tantissime... Io ho un router professionale Draytek 2820, che ha una miriade di funzioni di controllo, che io attualmente non uso..

30-10-2009, 10:23	#8
misterx Senior Member Iscritto dal: Apr 2001 Città: Milano Messaggi: 3736	grazie 1000 per le risposte.

Strumenti
Mostra una versione stampabile Invia questa pagina per email