Controllo accessi rete interna

Kutolenko7 · 26-11-2012, 13:33

Ciao a tutti, avrei un quesito da sottoporvi:

lavoro in un'azienda con una cinquantina di dipendenti, active directory, qualche switch e un firewall. Poichè ci sono molti visitatori, volevo implementare un sistema in modo che chi si connette alla rete aziendale tramite ethernet (dhcp abilitato) non abbia accesso alla rete interna, quindi mi servirebbe un controllo degli accessi.
Qualcuno mi saprebbe dire qualche soluzione (sia hardware che software) da poter adottare? Spero di aver spiegato bene il problema, per eventuali domande chiedete pure!

Grazie mille

Marco

malatodihardware · 26-11-2012, 18:12

Un firewall con una rete guest..

Inviato dal mio MB525

Alfonso78 · 27-11-2012, 09:27

Esatto. Un firewall hardware.

Tenuto conto che hai il dhcp abilitato potresti impostare un range di indirizzi ip disponibili da associare agli utenti della rete "ospite".

malatodihardware · 27-11-2012, 09:43

Quote:

Originariamente inviato da Alfonso78

Tenuto conto che hai il dhcp abilitato potresti impostare un range di indirizzi ip disponibili da associare agli utenti della rete "ospite".

Meglio metterli su un'interfaccia completamente diversa IMHO

Alfonso78 · 27-11-2012, 10:15

Quote:

Originariamente inviato da malatodihardware

Meglio metterli su un'interfaccia completamente diversa IMHO

Si. Una precauzione in più.

Kutolenko7 · 27-11-2012, 10:45

Quote:

Originariamente inviato da malatodihardware

Meglio metterli su un'interfaccia completamente diversa IMHO

Potresti spiegarti meglio? Grazie.

malatodihardware · 27-11-2012, 11:31

Ti serve un firewall hardware con tre interfacce (fisiche o virtuali poco importa). Una la dedichi alla LAN e una alla rete Guest, poi fai una regola sul firewall che blocca tutto il traffico da Guest a LAN..

Kutolenko7 · 27-11-2012, 12:11

Quote:

Originariamente inviato da malatodihardware

Ti serve un firewall hardware con tre interfacce (fisiche o virtuali poco importa). Una la dedichi alla LAN e una alla rete Guest, poi fai una regola sul firewall che blocca tutto il traffico da Guest a LAN..

Ma non esiste una rete guest. L'ospite può connettersi ad un qualsiasi attacco ethernet in azienda, e il dhcp gli assegna un indirizzo ip. Mi servirebbe implementare un sistema che fa un controllo degli accessi o a livello mac (quindi ad esempio se il mac-address è nella lista il pc può avere un indirizzo ip, un pò scomoda come soluzione) oppure a livello di account, non so se mi sono spiegato.

malatodihardware · 27-11-2012, 12:47

Ok, il mio era riferito alla wireless, se ti serve anche cablato il discorso cambia un po: Il DHCP non c'entra, se sono fisicamente nello stesso switch potranno comunque vedere gli altri pc/server della rete a meno che non definisci delle vlan per ogni singola porta dello switch. Poi metti tutta la vlan sotto la 3 interfaccia e sei a posto..

Comunque ti consiglio di fare collegare gli ospiti alla wireless che tanto dovranno utilizzare solo internet così è molto più semplice..

Inviato dal mio MB525

Kutolenko7 · 28-11-2012, 14:01

Quote:

Originariamente inviato da malatodihardware

Ok, il mio era riferito alla wireless, se ti serve anche cablato il discorso cambia un po: Il DHCP non c'entra, se sono fisicamente nello stesso switch potranno comunque vedere gli altri pc/server della rete a meno che non definisci delle vlan per ogni singola porta dello switch. Poi metti tutta la vlan sotto la 3 interfaccia e sei a posto..

Comunque ti consiglio di fare collegare gli ospiti alla wireless che tanto dovranno utilizzare solo internet così è molto più semplice..

Inviato dal mio MB525

Lo so che è più semplice, però comunque non è sicuro che chiunque si colleghi ad una torretta possa avere accesso alla rete interna. Non so se con le VLAN si possa risolvere il problema, forse sarebbe meglio adottare qualcosa a livello di autenticazione.

malatodihardware · 28-11-2012, 14:48

Ma come fai a far autenticare un utente sullo switch??
Al massimo puoi non assegnargli un indirizzo sul DHCP, lasciando indirizzi solo ai MAC Address interni..

Kutolenko7 · 28-11-2012, 15:44

Quote:

Originariamente inviato da malatodihardware

Ma come fai a far autenticare un utente sullo switch??
Al massimo puoi non assegnargli un indirizzo sul DHCP, lasciando indirizzi solo ai MAC Address interni..

Ma non devono autenticarsi sullo switch!!!

Ho creato la discussione apposta, vorrei sapere qualche metodo per risolvere il problema!!!

Alfonso78 · 28-11-2012, 16:11

Imposti un range di indirizzi ip da fornire ai clienti che si connetteranno come meglio conviene: wi-fi o lan.

Ovviamente il predetto range di indirizzi ip verrà configurato in maniera tale da risultare isolato dalla rete lan esistente.

In linea di massima la tua esigenza dovrebbe essere questa da me esposta.

malatodihardware · 28-11-2012, 17:22

Sì ma per separarli a livello ip gli servono comunque le vlan (o switch diversi..)

Inviato dal mio MB525

Kutolenko7 · 28-11-2012, 20:14

Quote:

Originariamente inviato da Alfonso78

Imposti un range di indirizzi ip da fornire ai clienti che si connetteranno come meglio conviene: wi-fi o lan.

Ovviamente il predetto range di indirizzi ip verrà configurato in maniera tale da risultare isolato dalla rete lan esistente.

In linea di massima la tua esigenza dovrebbe essere questa da me esposta.

Il problema "sicurezza" rimane ugualmente, perchè anche se una parte della rete viene isolata, sarà comunque possibile collegarsi ai vari punti di connessione ai quali fanno accesso gli utenti dell'azienda senza autenticazione...non so se mi sono spiegato.

malatodihardware · 28-11-2012, 20:34

Le soluzioni sono:
- Se vuoi tenere i tuoi switch devi impostare il DHCP server in modo che abbia delle reservation sulla classe normale per i device "conosciuti" e a tutti gli altri rilasci un IP su un'altra classe. NB: Se uno forza l'IP manuale sulla stessa classe può raggiungere tranquillamente i server
- Devi installare (o configurare) degli switch managed in modo da avere due VLAN, in modo che le porte a cui sono collegati normalmente i pc sono su una e le altre porte libere sono sull'altra. NB: Se uno collega il notebook nella presa dove prima c'era un pc ovviamente è in LAN

Altri modi (compresa autenticazione) non ne esistono almeno a livello di rete. Puoi fare un captive portal sul firewall ma quello non c'entra niente con la LAN locale.

Alfonso78 · 29-11-2012, 10:28

Quote:

Originariamente inviato da Kutolenko7

Il problema "sicurezza" rimane ugualmente, perchè anche se una parte della rete viene isolata, sarà comunque possibile collegarsi ai vari punti di connessione ai quali fanno accesso gli utenti dell'azienda senza autenticazione...non so se mi sono spiegato.

Cosa intendi per "vari punti di connessione"?

Non basta isolare il range "ospite" in maniera tale da non accede alle risorse di rete?

**!fazz** · 29-11-2012, 10:42

Quote:

Originariamente inviato da Kutolenko7

Lo so che è più semplice, però comunque non è sicuro che chiunque si colleghi ad una torretta possa avere accesso alla rete interna. Non so se con le VLAN si possa risolvere il problema, forse sarebbe meglio adottare qualcosa a livello di autenticazione.

questo lo puoi sempre risolvere con uno switch managed

lasci per gli ospiti il wifi e blocchi tutte le porte ethernet per accettare connessioni solo da uno specifico mac address

26-11-2012, 13:33	#1
Kutolenko7 Senior Member Iscritto dal: Jun 2003 Città: bologna e rionero in vulture Messaggi: 356	Controllo accessi rete interna Ciao a tutti, avrei un quesito da sottoporvi: lavoro in un'azienda con una cinquantina di dipendenti, active directory, qualche switch e un firewall. Poichè ci sono molti visitatori, volevo implementare un sistema in modo che chi si connette alla rete aziendale tramite ethernet (dhcp abilitato) non abbia accesso alla rete interna, quindi mi servirebbe un controllo degli accessi. Qualcuno mi saprebbe dire qualche soluzione (sia hardware che software) da poter adottare? Spero di aver spiegato bene il problema, per eventuali domande chiedete pure! Grazie mille Marco __________________ Venite a bere una birra nell'angolo di zio peppino: http://www.langolodiziopeppino.forumfree.net

26-11-2012, 18:12	#2
malatodihardware Senior Member Iscritto dal: Sep 2008 Messaggi: 3583	Un firewall con una rete guest.. Inviato dal mio MB525

27-11-2012, 09:27	#3
Alfonso78 Senior Member Iscritto dal: Dec 2003 Città: Caltanissetta Messaggi: 16270	Esatto. Un firewall hardware. Tenuto conto che hai il dhcp abilitato potresti impostare un range di indirizzi ip disponibili da associare agli utenti della rete "ospite".

27-11-2012, 11:31	#7
malatodihardware Senior Member Iscritto dal: Sep 2008 Messaggi: 3583	Ti serve un firewall hardware con tre interfacce (fisiche o virtuali poco importa). Una la dedichi alla LAN e una alla rete Guest, poi fai una regola sul firewall che blocca tutto il traffico da Guest a LAN..

27-11-2012, 12:47	#9
malatodihardware Senior Member Iscritto dal: Sep 2008 Messaggi: 3583	Ok, il mio era riferito alla wireless, se ti serve anche cablato il discorso cambia un po: Il DHCP non c'entra, se sono fisicamente nello stesso switch potranno comunque vedere gli altri pc/server della rete a meno che non definisci delle vlan per ogni singola porta dello switch. Poi metti tutta la vlan sotto la 3 interfaccia e sei a posto.. Comunque ti consiglio di fare collegare gli ospiti alla wireless che tanto dovranno utilizzare solo internet così è molto più semplice.. Inviato dal mio MB525

28-11-2012, 14:48	#11
malatodihardware Senior Member Iscritto dal: Sep 2008 Messaggi: 3583	Ma come fai a far autenticare un utente sullo switch?? Al massimo puoi non assegnargli un indirizzo sul DHCP, lasciando indirizzi solo ai MAC Address interni..

28-11-2012, 16:11	#13
Alfonso78 Senior Member Iscritto dal: Dec 2003 Città: Caltanissetta Messaggi: 16270	Imposti un range di indirizzi ip da fornire ai clienti che si connetteranno come meglio conviene: wi-fi o lan. Ovviamente il predetto range di indirizzi ip verrà configurato in maniera tale da risultare isolato dalla rete lan esistente. In linea di massima la tua esigenza dovrebbe essere questa da me esposta.

28-11-2012, 17:22	#14
malatodihardware Senior Member Iscritto dal: Sep 2008 Messaggi: 3583	Sì ma per separarli a livello ip gli servono comunque le vlan (o switch diversi..) Inviato dal mio MB525

28-11-2012, 20:34	#16
malatodihardware Senior Member Iscritto dal: Sep 2008 Messaggi: 3583	Le soluzioni sono: - Se vuoi tenere i tuoi switch devi impostare il DHCP server in modo che abbia delle reservation sulla classe normale per i device "conosciuti" e a tutti gli altri rilasci un IP su un'altra classe. NB: Se uno forza l'IP manuale sulla stessa classe può raggiungere tranquillamente i server - Devi installare (o configurare) degli switch managed in modo da avere due VLAN, in modo che le porte a cui sono collegati normalmente i pc sono su una e le altre porte libere sono sull'altra. NB: Se uno collega il notebook nella presa dove prima c'era un pc ovviamente è in LAN Altri modi (compresa autenticazione) non ne esistono almeno a livello di rete. Puoi fare un captive portal sul firewall ma quello non c'entra niente con la LAN locale.

Strumenti
Mostra una versione stampabile Invia questa pagina per email