Фильтрация по mac-адресу
 

Подскажите, локальная сеть порядка 300 ПК, возник вопрос о повышении безопасности. Имеет ли смысл, как один из моментов, реализация фильтрации по mac-адресу на управляемых коммутаторах? То есть доступ в сеть только устройств и ПК с маком из белого списка, забитого на коммутаторах или от этого всего больше геморроя, чем реальной пользы?

поставь сервер и веди список маков на нем

У циски есть такая штука - называется "port security". Реализует даже больше: привязывает мак адрес к конкретному порту на коммутаторе.
У меня есть опыт работы с ней в довольно крупной компании (порядка 3000 хостов). В принципе - никаких проблем.
Но нужно осознавать, что это не значительно повышает безопасность (подделать мак адрес легко), просто создает злыдню дополнительные проблемы.

Посмотрите в сторону 802.1x

нужен правда на каждого клиента порт без всяких неуправляемых свитчехабов , иначе смысл пропадает , у порт секьюрити проблема в том что мак сменить легко , можно легко подсунуть железяку-роутер сменить мак и занатить хоть 100 компов

а вот 802.1x показалось мне слишком сложным(в смысле - больше создаст проблем, чем решит их).
Мак, конечно, сменить легко (особенно учитывая то, что можно сначала "послушать" клиента и узнать его мак, а потом лезть в сеть), но port security усложняют атаку, практически не создавая проблем для админа, тогда как 802.1x прямо требует отдельно созданной инфраструктуры и специально(и не тривиально) обученного человека.

Эта функция не только у циски что вы таки наговариваете
автору надо:
адрес биндинс
соурс гвард
порт секурити
+ дхцп сервер где указан конкретный мак (при наличии дхцп локал релей на макутаторах можно привязать к конкретной железке и конкретному порту на коммутаторе, без прописывания на самом макутаторе)

Интернет Контроль Сервер. Но это если контора не нищебродская или жмотистая.

Это ты про себя что ле?

8-SERGIUSF >у нас кагбэ оно есть)

для примера:
1.решил как-то замутить такую тему в сети из 900 пк. руководство сказало круто-давай. через неделю системотехники, а через пару недель и пользователи, начали плакать - работать трудно, всё блокируется, ноутбук домашний не принесёшь, ай-ай и т.д. руководство сказало - что ты наделал!!! давай убирай.
----
уволился через некоторое время. перешёл в другую кантору
----
2.была сделана таже тема в более крупной сети и более распределённой. пользователи восприняли адекватно, руководство поддержало, системотехники поплакали и заткнулись (не без помощи поддержки со стороны руководства).

отсюда вывод. когда нефик делать, то надо уподобиться коту :)

2SERGIUSF
А кто говорил, что это только на циске?

Добрых дел мастер, ты прям как Портос, да?

[quote=krotov;40037347] Добрых дел мастер, ты прям как Портос, да? [/quote]
я, конечно, не откажусь от бургундского, но я думаю причина сравнения меня с Портосом в другом. Можно подробности?

опять?
нет чтобы привести кусок конфига с циски, длинка, кутэка.

[quote=naib;40039175] опять? нет чтобы привести кусок конфига с циски, длинка, кутэка. [/quote]
а вас что, в гугле забанили?
Ладно бы обсуждали что-то сложное, тюнили или траблшутили что-то, но банально включить портсисюрити - скукота.

15-Добрых дел мастер > конечно скукота, если банально. а если включить голову, то банальный портсекурити, может стать очень удобным инструментом.

как я уже писал, я им пользовался на довольно большой сети. Но даже при этом в конфигурации не было ничего сложного (и что не было бы написано в первой же статье по запросу в гугле "как настроить портсисюрити")

9-Disobedient > Прописал на макутаторах мак адреса рабочих станций как нищеброд?

ну так и траблшутить можно через гугл. тем более уж тюнить. надо вообще спросить у администратора (кхм) зачем эта ветка на форуме???