Доверие присвоенным DHCP IP-адресам только
Смотрите на freenas по http://freenas.org. Вот аннотация с их веб-сайта:
FreeNAS является встроенный NAS с открытым исходным кодом (Сетевое хранилище данных) распределение на основе FreeBSD, поддерживая следующие протоколы: CIFS (самба), FTP, NFS, TFTP, AFP, RSYNC, Унисон, iSCSI (инициатор и цель) и UPnP.
Это поддерживает программное обеспечение RAID (0,1,5), ZFS, шифрование диска, S.M.A.R.T/email, контролирующий с ВЕБ-интерфейсом конфигурирования (от m0n0wall).
FreeNAS может быть установлен на Компактном Flash/флеш-карте, жестком диске или загружен от LiveCD.
Обработка отказа не была бы возможна, но она даст Вам цель iSCSI для Ваших резервных копий.
Короткий ответ: нет.
В зависимости от вашего DHCP-сервера вы должны иметь возможность ограничивать выделение по MAC-адресу, но это тривиально - обнюхать MAC-адреса, уже находящиеся в сети, и изменить адрес на конкретной машине. Но это все еще больше усилий, чем просто установка IP-адреса напрямую.
Если вы хотите защитить свою сеть, используйте безопасные протоколы и правильную аутентификацию.
Возможно, подключив чужое устройство к собственному настроенный IP-адрес, другие машины могут подключиться к сети.
Да, очень легко.
Есть ли способ предотвратить это? Есть ли способ включить машины сеть, чтобы игнорировать трафик с компьютера, который не был назначил адрес DHCP?
Ну да, вы можете просто установить промежуточный брандмауэр, чтобы запретить все, кроме разрешенного диапазона IP-адресов.
Тем не менее, есть и другие способы сделать это, вы можете использовать брандмауэр на основе список MAC-адресов, это немного безопаснее, чем по IP, но не намного; если это действительно важно для вас, вы применили какую-то форму зашифрованного решения на основе сертификатов, такого как настройка VPN между принимаемыми устройствами и внутренней частью вашей сети. Это очень часто используемый сценарий, особенно в организациях, имеющих открытые сети Wi-Fi, и он далек от передовых технологий.
Похоже, то, что вы ищете, называется ПО для управления доступом к сети или защиты доступа к сети. Особенно, если аутентификация 802.1x на уровне коммутатора, как предлагает MichelZ, недостаточна для ваших нужд. (Хотя я бы посмотрел на настройку RADIUS-сервера или ж / д, прежде чем искать решения NAC.)
У Cisco есть версия, у Microsoft есть версия (в Server 2008, называемая NAP), как и у многих третьих партийные поставщики и компании компьютерной безопасности / AV. [Полное раскрытие информации, раньше я работал в магазине разработки программного обеспечения, который производит такой продукт.]
Сказав это, безопасность заключается в проведении анализа затрат / выгод с учетом рисков. На самом деле, «идеальная» система безопасности - это та, взломать которую дороже, чем то, что она защищает, а не «непроницаемая». системы (если, конечно, вы не защищаете что-то «бесценное», то идеальным вариантом будет непроницаемость).
Поэтому, прежде чем покупать (или даже внедрять «бесплатное») решение безопасности, вы должны подумать, какую прибыль вы получите от своих вложений времени и / или денег. (Или, если вам повезет, это может быть решение вашего босса или кого-то еще.) Точно так же, как нет смысла покупать сейф за 10 000 долларов, чтобы защитить несколько сотен долларов, возможно, это не стоит ваших вложений. время или деньги, чтобы установить надлежащую безопасность NAC / NAP, если риск невелик и / или данные, которые вы защищаете, не особенно ценны.
), вам следует подумать о том, какую прибыль вы получите от вложенного времени и / или денег. (Или, если вам повезет, это может быть решение вашего босса или кого-то еще.) Точно так же, как нет смысла покупать сейф за 10 000 долларов, чтобы защитить несколько сотен долларов, это может не стоить ваших вложений в него. время или деньги, чтобы установить надлежащую безопасность NAC / NAP, если риск невелик и / или данные, которые вы защищаете, не особенно ценны. ), вам следует подумать о том, какую прибыль вы получите от вложенного времени и / или денег. (Или, если вам повезет, это может быть решение вашего босса или кого-то еще.) Точно так же, как нет смысла покупать сейф за 10 000 долларов, чтобы защитить несколько сотен долларов, это может не стоить ваших вложений в него. время или деньги, чтобы установить надлежащую безопасность NAC / NAP, если риск невелик и / или данные, которые вы защищаете, не особенно ценны.Это тоже безопасность через неизвестность. Злоумышленник может прослушивать широковещательные рассылки, получить действительный MAC-адрес от какого-нибудь «хорошего» компьютера, а после его выключения использовать «хороший» Mac для получения действительного IP-адреса от DHCP.
То, что вы хотите, может быть реализовано с помощью некоторого специального программного обеспечения, которое будет проверять DHCP и соответствующим образом изменять правила брандмауэра, или иметь фильтр Mac на каждой машине и обновлять `` хороший '' список Mac каждый раз, когда добавляется новое поле (большой PITA для администраторов).
Если вы управляли коммутаторами с поддержкой 802.1x, я бы порекомендовал изучить это или настроить безопасность порта, чтобы разрешить трафик порта только с определенных MAC-адресов.