Cari ragazzi,
stò cercando il modo di limitare l'accesso ad internet, tramite un Cisco 803, a soli due computer della rete. In realtà le seguneti ACL:
access-list 18 permit 192.168.0.1 255.255.255.255 (computer 1)
access-list 18 permit 192.168.0.2 255.255.255.255 (computer 2)
mi consentono di bloccare i pc a livello IP ma diventa molto vulnerabile. Volendo associare ad ogni IP un MAC, è possibile creare due ACL, la prima che controlla l'IP e la seconda che controlla il MAC, quindi metterle in AND tra di loro avendo un'unical ACL che verichi se contemporaneamente l'IP e il MAC? Vorrei evitare di usare il DHCP con l'associazione hardware.
Grazie
ACL in AND per controllo IP - MAC
Moderatore: Federico.Lagni
-
[Dj][DMX]
- Coamministratore
- Messaggi: 428
- Iscritto il: mer 24 nov , 2004 12:42 am
- Località: Udine
Basta che crei un'altra acl con i mac address e la applichi alla stessa interfaccia assieme a quella da te postata (però con le subnet mask giuste perchè quelle che hai scritto non vogliono dire nulla!) in teoria dovrebbe andare!
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Piergiorgio Welby
-
salfi
- n00b
- Messaggi: 6
- Iscritto il: lun 05 feb , 2007 2:48 pm
Forse la mia richiesta era un pò ambigua. Cerco di essere più chiaro:
il computer con Mac XX:XX:XX:XX:XX:XX e IP YYY.YYY.YYY.YYY
ed
il computer con MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ e IP KKK.KKK.KKK.KKK
possono andare su internet, il computer con MAC XX:XX:XX:XX:XX:XX e IP KKK.KKK.KKK.KKK non deve poter navigare.
Grazie ancora per l'interessamento.
il computer con Mac XX:XX:XX:XX:XX:XX e IP YYY.YYY.YYY.YYY
ed
il computer con MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ e IP KKK.KKK.KKK.KKK
possono andare su internet, il computer con MAC XX:XX:XX:XX:XX:XX e IP KKK.KKK.KKK.KKK non deve poter navigare.
Grazie ancora per l'interessamento.
-
[Dj][DMX]
- Coamministratore
- Messaggi: 428
- Iscritto il: mer 24 nov , 2004 12:42 am
- Località: Udine
Ma scusa un attimo, non ti basta il controllo sul mac address?Così non ci sono santi, navigherebbero solo quei due PC!CMq prova a fare come ti ho già sctirro sopra
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Piergiorgio Welby
-
salfi
- n00b
- Messaggi: 6
- Iscritto il: lun 05 feb , 2007 2:48 pm
Il MAC è facilmente aggirabile, aggiungere un secondo controllo (limitando anche l'IP) migliorerebbe il livello di sicurezza.
In ogni caso le ACL vengono processate in OR e non in AND per cui scriverle una sull'altra non avrebbe molto senso.
Stò lavorando sulla possibilità di limitare il routing in ARP associando l'IP al MAC:
arp IP MAC arpa
in questo modo dovrebbe andare, in ogni caso ti manterrò aggiornato.
Grazie
In ogni caso le ACL vengono processate in OR e non in AND per cui scriverle una sull'altra non avrebbe molto senso.
Stò lavorando sulla possibilità di limitare il routing in ARP associando l'IP al MAC:
arp IP MAC arpa
in questo modo dovrebbe andare, in ogni caso ti manterrò aggiornato.
Grazie
-
active
- Cisco pathologically enlightened user
- Messaggi: 181
- Iscritto il: dom 27 ago , 2006 10:32 pm
- Località: /dev/null
Il mac è facilmente aggirabile e l'ip lo è ancor di più. Tieni conto che per farlo occorrono privilegi di amministratore sulle postazioni degli utenti (a meno di exploit vari ovvio). Il controllo sul macaddress basta e avanza anche secondo me. 
active
-
kobaiachi
- Cisco pathologically enlightened user
- Messaggi: 175
- Iscritto il: gio 27 ott , 2005 3:34 pm
la cosa migliore che potresti fare se hai questo tipo di problemi è un autenticazione tramite certificati . ovviamente se usi questo tipo di autenticazione dovresti almeno avere oltre al router un Proxy server.
