У меня стоят несколько DES-3010G на основных сегментах городской локальной сети, которая подошла к тому пределу, когда ее сложно стало контролировать.
Для борьбы с нелегальными подключениями поднял DHCP сервер, с учетными записями и доменом.
И хочу чтобы только авторизированный пользователи пропускались через DES-3010G.

Вопросы:
1. Я так понял что ARP сканом MAC машины получить удается не всегда?
Если к примеру на машине пользователя стоит фаер или проактивная защита, то свичи его не пропустят ... или есть вариант 100% определения МАС в настройках? Если да то подскажите пожалуйста.
2. Есть ли возможность настройки DES-3010G так чтобы он пропускал только авторизированных пользователей домена. Я посмотрел VLAN но походу это не то.
3. Есть ли еще варианты борьбы с нелегалами?

IP-MAC-Binding

Это все хорошо, но МАС адрес не определяется когда на машине клиента стоит фаерволл!
К тому же Нелегал может легко подделать ip и МАСи свич его пропустит.

Приблизительную схему сети можете нарисовать?
МАС адрес всегда можно узнать

Одноранговая сеть класса С.
Маска 255.255.0.0
500 человек в сети, из них 150-200 - нелегально!
От основного здания нашей компании по городу идут 3 ветки, 2 их которых разветвляются еще по разу.
Основные магистрали на оптике, на каждом районе (всего их 5) стоят управляемые коммутаторы.
Есть огромное желание забить в коммутаторы БД по легалам района с IP и МАС, или же сделать авторизацию на свиче.
Но МАС, хоть и говорят что свичи железный МАС оределяют - верится с трудом, т.к. биндинг включаешь и нелегалы маки подделывают с ипом в свойствах сетевой и свободно проходят.

Самый идеальный вариант, как мне бы хотелось - это чтобы легалы подключались к домену под своей учеткой, т.е. вместо рабочей группы вводили имя домена.
Но не знаю как ограничить от сети остальных, кто не в домене.
Можно ли это сделать с помощью DES-3010G
Если да то как? буду очень благодарен, да и не я один.

Это не класс С а B
идеале использовать IP-MAC-Port в связке, но для этого нужно хороший коммутатор (DES-35хх) на узел доступа.
использовать домен вам мало чем поможит, вам нужно смотреть в сторону VPN, если малыми жертвами...
можно ещё попробывать VLANы разводить на кождого пользователя или группу приводить их в центр и там уже резать лишние связки, но от 100% подмены не избавитесь.

500 человек - пора уже задумываться о переходе на приличное оборудование на доступ.

Моё мнение: минимум требуется 5 свичей на каждом оптическом напралении, каждый из свичей будет работать по таблицам IMB, объединяя в себе как можно большую коммутацию по направлению. Насколько я понимаю, у вас схема - созвездие. Вот в каждом узле такой свич и нужен.

По хорошему:

Чем больше таких свичей вы поставите - тем тяжелее будет к вам подключиться нелегально. Идеальным вариантом будет конечно 1 дом = 1 свич + привязка пользователей к портам свича(как выше сказал Morpeh77). Это обойти уже крайне трудно, а зачастую невозможно.

Считайте бюджет, который вы сможете выделить для этих целей, и дальше обдумывайте будущюю схему доступа и расположения оборудования. Если что - спрашивайте. Вашу сеть можно привести в нормальное состояние.

Что за глупость, что мак адрес не определяется если стоит фаерволл ? все определяется. не видел ни одного фаерволла виндоского, который блокировал бы ARP-протокол. Без него вообще ничего работать не будет.

_________________
LiveComm

IMB было когда то решением проблеммы.
Щас же любая сетевуха имеет возможность сменить MAC адрес.
Я на примере подменял IP, MAC, имя компа и рабочей группы легала и свободно проходил через свич вместе с ним, только сеть у нас при этом падала каждые 5 мин, но работала. Это не вариант.

Есть мнение и планы перевести всю сеть на VLAN с физической привязкой к порту.
На каждом доме, а их примерно 200, ставить коммутатор 8-10 портов с поддержкой VLAN и физической блокировкой порта, разумеется все в коробе и на последнем этаже. В каждом доме у нас не более 6-и легальних подключений.
Тут только 3 загвоздки:
1. Придется многим пользователям менять сетевые платы, или как минимум драйвера для них, чтобы была включена поддержка VLAN
2. Хотелось бы узнать оптимально экономный вариант в выборе коммутатора с поддержкой VLAN, минимум 8 портов, физ. блокировка порта, IP привязка к порту.
3. Пользователи могут делать ответвления т.к. кабель витой пары 8-жильный, так что очень хочется сделать VLAN авторизацию, подскажите как это возможно сделать.

И вообще правильную ли стратегию я выбрал?
Заранее благодарен.

если есть какой-нить сервачок под линухом: то можно поставить ip-sentinel. В конфиге прописываются нужные ипы, а остальные программа закидывает фиктивными маками при любом неверном arp-запросе ( в том числе и разрешенные ипы, если они обращаются arp`ом к левым адресам).
У себя недавно поставил - заглушил какую-то внутреннюю сетку из 5 левых айпишек.
Недостаток - при большом количестве запросов не успевает все блокировать, а при очень большом - может падать.
+ привязки ip-mac на 3010G и думаю все нелегалы постепенно сойдут на нет....

PS: ну и обход свитчей с выдергиванием "левых" еще никто не отменял))

Я же уже говорил: "Я на примере подменял IP, MAC, имя компа и рабочей группы легала и свободно проходил через свич вместе с ним, только сеть у нас при этом падала каждые 5 мин, но работала. Это не вариант. "
Все нелегалы займут IP и MAC легалов и будут сидеть с лагами оба и легал и нелегал.
Это не вариант.

А как Вы хотите блокировать нелегала если он подставил все параметры легального пользователя? Это в принципе невозможно.

Думаю не совсем так. Если прибить правильную связку IP-MAC на порт свича, к которому подключен потенциальный злоумышленник (только 1 мак на порт), он никак не обойдёт эту защиту.

Плюс к этому, легалы могут быть подключены к разным свичам с разными базами IP-MAC, нелегалу придётся неплохо попотеть, чтобы подобрать связку именно его свича для подмены.

Автору темы придётся всё-таки неплохо вложиться в безопасность сети.

Как я понял имелось ввиду что легальный и нелегальный пользователи находятся за одним портом управляемого свитча.