VirtualIreland.ru - Виртуальная Ирландия
Вернуться   VirtualIreland.ru - Виртуальная Ирландия > Живем в Ирландии > IT и Связь

IT и Связь Обсуждение "айтишных" вопросов и средств связи

Ответ
 
Опции темы Опции просмотра
Старый 10.03.2011, 13:03   #1
Заслуженный Участник
 
Аватар для vova7777
 
Сообщений: 934
Благодарности: 616 в 285 сообщениях Поиск благодарностей vova7777
Отправить сообщение для  vova7777 с помощью ICQ
Счастье Security of MAC authentication with IAS and Actuve Directory

Привет всем. Собственно настроил MAC based authentication для устройств не поддерживающих 802.1x Но вот засада. Win IAS может аутентифицировать эти хосты только если найдёт account v Active Directory где вместо имени: МАС адрес каждого хоста. Проблема в том что и пароль тоже требует идентичный логину.
Эту дыру в security я не желаю оставлять открытой.

Вопрос: Есть ли варианты безопасной аутентикации мак хостов с IAS прежде чем я начну искать другой radius server?

мысли в слух:
1. Может как-то ограничить authentication этих мас хостов только с IAS IP адреса?
2. Есть какой нить плагин который позволит закинуть туда список МАСов и ткнуть IAS radius в эту таблицу вместо Active directory?

Последний раз редактировалось vova7777, 11.03.2011 в 08:23.
vova7777 вне форума   Ответить с цитированием

Зарегистрируйтесь или войдите под своим именем, чтобы спрятать этот рекламный блок
Старый 11.03.2011, 08:32   #2
Заслуженный Участник
 
Аватар для vova7777
 
Сообщений: 934
Благодарности: 616 в 285 сообщениях Поиск благодарностей vova7777
Отправить сообщение для  vova7777 с помощью ICQ
Лампочка Re: Security of MAC authentication with IIS and Actuve Directory

Ув. модераторы, исправьте пожалуйста три буквы в названии темы IIS на IAS. Спасибо.
vova7777 вне форума   Ответить с цитированием
Старый 13.03.2011, 12:57   #3
Заслуженный Участник
 
Аватар для vova7777
 
Сообщений: 934
Благодарности: 616 в 285 сообщениях Поиск благодарностей vova7777
Отправить сообщение для  vova7777 с помощью ICQ
Печаль Re: Security of MAC authentication with IAS and Actuve Directory

Чё, никто 802.1x не ставил?
vova7777 вне форума   Ответить с цитированием
Старый 18.03.2011, 17:21   #4
Заслуженный Участник
 
Аватар для vova7777
 
Сообщений: 934
Благодарности: 616 в 285 сообщениях Поиск благодарностей vova7777
Отправить сообщение для  vova7777 с помощью ICQ
Счастье Re: Security of MAC authentication with IAS and Actuve Directory

Чувствую далеко я забрёл. В интернете максимум 2-3 человека реально понимали о чём идёт речь и давали ответы. Вообшем после нескольких дней моего research..
Вот несколько вариантов усиления безопасности такой системы(может пригодится кому):

1) Cisco switch который аутентицирует мак хосты via 802.1x посылает их в IAS как user and password = МАC address. Изменить это походу не возможно. Абыдна да?

2) В Win2k3 Можно также ensure that the MAC Addresses group is denied logon locally и login via terminal services это легко делается с GPO.

3) В менюшке каждого акаунта в AD есть опция ограничить доступ толко к указанным хостам. Там тоже можно указать на что-то несушиствующее и этим ограничить доступ. нам ведь нужна authentication not authorization

4) Еще отменил доступ к файлам этой группе мак хостов исключив их с domain users group.

5) Через ADSI залез в Active Directory Settings. Папка с мак акаунтами которую нужно ограничить доступ имеет primaryGroupID 513. Пробовал изменить это GroupID на другой номер. Это наверника вывело бы эту групу небезопасных акаунтов из Аctive directory. Просто изменить ID не поличилось но потом подумав - это ведь очень глубокая модификация которая может негативно отразится на упдейтах и т.д.

Ну и на последок добавлю что можно перенаправить мак аутентификацию на другой сервер. установить отдельный можно и виртуальный например Win2k8 с NPS и создать там группу хостов не подключая этот сервер к домену.

Дайте знать если есть еще какие мысли, варианты...
vova7777 вне форума   Ответить с цитированием
Ответ



Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать на сообщения
Вы не можете добавлять вложения
Вы не можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщ.
Join domain, Active Directory вЫлЫсЫпЫдЫстЫ IT и Связь 9 02.06.2010 14:27
Rail Security Asiza Общие темы 1 20.03.2010 23:16
вопросик по Active Directory on Windows Server 2003 vova7777 IT и Связь 3 10.05.2009 15:04
Safety and security Georgio Общие темы 18 22.12.2008 23:26
.Net: IO.Directory.Exists magician IT и Связь 2 21.07.2008 12:04


Часовой пояс GMT, времени сейчас: 19:49.


vBulletin®, Copyright ©2000-2025, Jelsoft Enterprises Ltd., Русификация: zCarot, Vovan & Co
©2003-2025 VirtualIreland.ru - Виртуальная Ирландия