CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

ACL in AND per controllo IP - MAC

https://www.ciscoforums.it/viewtopic.php?f=17&t=5212

Pagina 1 di 1

ACL in AND per controllo IP - MAC

Inviato: mer 06 giu , 2007 6:50 pm
da salfi
Cari ragazzi,
stò cercando il modo di limitare l'accesso ad internet, tramite un Cisco 803, a soli due computer della rete. In realtà le seguneti ACL:

access-list 18 permit 192.168.0.1 255.255.255.255 (computer 1)
access-list 18 permit 192.168.0.2 255.255.255.255 (computer 2)

mi consentono di bloccare i pc a livello IP ma diventa molto vulnerabile. Volendo associare ad ogni IP un MAC, è possibile creare due ACL, la prima che controlla l'IP e la seconda che controlla il MAC, quindi metterle in AND tra di loro avendo un'unical ACL che verichi se contemporaneamente l'IP e il MAC? Vorrei evitare di usare il DHCP con l'associazione hardware.
Grazie

Inviato: mer 06 giu , 2007 10:25 pm
da [Dj][DMX]
Basta che crei un'altra acl con i mac address e la applichi alla stessa interfaccia assieme a quella da te postata (però con le subnet mask giuste perchè quelle che hai scritto non vogliono dire nulla!) in teoria dovrebbe andare!

Inviato: gio 07 giu , 2007 8:54 am
da salfi
Forse la mia richiesta era un pò ambigua. Cerco di essere più chiaro:

il computer con Mac XX:XX:XX:XX:XX:XX e IP YYY.YYY.YYY.YYY
ed
il computer con MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ e IP KKK.KKK.KKK.KKK

possono andare su internet, il computer con MAC XX:XX:XX:XX:XX:XX e IP KKK.KKK.KKK.KKK non deve poter navigare.

Grazie ancora per l'interessamento.

Inviato: ven 08 giu , 2007 11:41 am
da [Dj][DMX]
Ma scusa un attimo, non ti basta il controllo sul mac address?Così non ci sono santi, navigherebbero solo quei due PC!CMq prova a fare come ti ho già sctirro sopra

Inviato: ven 08 giu , 2007 11:48 am
da salfi
Il MAC è facilmente aggirabile, aggiungere un secondo controllo (limitando anche l'IP) migliorerebbe il livello di sicurezza.
In ogni caso le ACL vengono processate in OR e non in AND per cui scriverle una sull'altra non avrebbe molto senso.
Stò lavorando sulla possibilità di limitare il routing in ARP associando l'IP al MAC:
arp IP MAC arpa
in questo modo dovrebbe andare, in ogni caso ti manterrò aggiornato.
Grazie

Inviato: ven 08 giu , 2007 9:48 pm
da active
Il mac è facilmente aggirabile e l'ip lo è ancor di più. Tieni conto che per farlo occorrono privilegi di amministratore sulle postazioni degli utenti (a meno di exploit vari ovvio). Il controllo sul macaddress basta e avanza anche secondo me. :wink:

Inviato: mer 13 giu , 2007 2:32 pm
da kobaiachi
la cosa migliore che potresti fare se hai questo tipo di problemi è un autenticazione tramite certificati . ovviamente se usi questo tipo di autenticazione dovresti almeno avere oltre al router un Proxy server.
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it