Opções de Bloqueio de MACs Rede Corporativa

Diego Barbosa88 · 11 de novembro de 2022

Prezado, como estão?

Sobre meu problema: Estou em uma rede corporativa com dominio. Acontece que quando uma maquina de fora da organização é conectada em um ponto de rede, a maquina está pegando IP e dependendo da VLAN do ponto, é concedido acesso a rede. O que eu quero que ao se conectar uma maquina de fora do dominio a mesma não consiga um IP e seja bloqueada. Sei que existe a filtragem de MAC, porém o ambiente é dinamico, há muita mudanças e não é viavel realizar o bloqueio de um ponto de rede, toda vez que alguém de fora se conectar ( É uma rede grande + de 1000 equipamentos). Atuo na area de Redes, realizo a configuração de Switches. Não há firewall interno, somente externo. Crei que está seja um tarefa da equipe de servidores, pois, os mesmos tem acesso a cada MAC de todos os equipamentos no dominio interno. Mas estão passando a bola para mim, que cuido da parte de redes. Os Switches CORE ( 2 no total) , não tem configuração de bloqueio de MAC, mas mesmo que tivesse eu precisaria da lista de todos os MACs liberados da rede. alguém sabe de outras alternativas?

dwatashi · 15 de novembro de 2022

Bloqueios na rede, geralmente somente com ativos que permitem esse tipo de filtragem.

Switches Gerenciáveis, Firewall, etc.

thiago.jj · 16 de novembro de 2022

não sei o firewall que você utiliza, mas sonicwall, fortinet tem o recurso onde você instala um client no servidor AD e ele sincroniza os usuarios ibera o acesso somente aos usuarios logados no dominio e para usuarios fora do dominio ele pede autenticacao.

sobre os pontos de rede é melhor deixar bloqueado mesmo, libera apenas o acesso apenas ao wifi usando a Vlan para clientes não terem acesso a sua rede interna.

Buga Laza · 17 de novembro de 2022

Não precisa ser o SonicWall, como mencionado pelo @thiago.jj, pode ser qualquer switch com suporte ao protocolo 802.1x.

Também é necessário um servidor RADIUS, que pode ser o NPS do Windows Server, para controlar o acesso por usuários, computadores ou grupos, restringir horários, etc...

Essa é a maneira correta, já que controlar MAC address de mil equipamentos não é nada razoável.

A título de referência, segue o tutorial para configuração no SonicWall: https://www.sonicwall.com/support/knowledge-base/setting-up-802-1x-authentication-on-sonicwall-switch/200614154552733/.

Para complementar, a mesma autenticação 802.1x pode ser utilizada para controlar o acesso à rede sem fio, dispensando o uso de segredos pré-compartilhados.