Jag är Help Desk-ansvarig, så ursäkta om mitt nätverkspråk är lite off.
Vi har redundanta brandväggar i vårt företag, 2 st Sonicwall TZ600 och vår nuvarande nätverksingenjör säger att vi inte kan begränsa en VPN-anslutning baserat på MAC-adress. Inte på denna brandvägg och inte på NÅGON brandvägg. Inte ens de högre modellerna som Palo Alto.
Är detta sant? Finns det inget sätt att få brandväggen att säga::
ditt användarnamn är korrekt? Kontroll.
Ditt lösenord är rätt? Kontroll.
Din MAC-adress är vitlistad? Kontroll.
Alla inlägg skulle vara till stor hjälp, tack reddit!
MAC-adresser är lagret 2 och kan inte passera internet på samma sätt som en IP-adress på lager 3. Om du var på samma fysiska nätverk skulle det vara möjligt, men varför använder du då en VPN?
Jag tror att den verkliga frågan är hur man begränsar VPN-åtkomst för enheter som jag litar på. Det finns flera sätt att ta itu med det problemet, att begränsa via MAC-adress är inte en av dem.
Varför skulle du vilja? Hur lätt som helst att låna en vitlistad MAC-adress. Du kan lika gärna använda hederssystemet och fråga användare om de planerar att attackera ditt företag
Även om det vore möjligt, vad är syftet? Om du bara vill att betrodda klienter ska kunna ansluta, är certifikatvägen den bästa.
Vilken klient använder ni? Med både SSL (NetExtender/Mobile Connect) och Global (IPsec) kan du se MAC-adressen för enheten som används för att etablera anslutningen (antingen i användare eller VPN → DHCP beroende på klienten) och du kan potentiellt skapa en SSL VPN → LAN eller VPN → LAN-regel för att tillåta åtkomst från en vitlistad adressgrupp som innehåller godkända MACs.
Med Global kan du också tillåta att IP-tilldelningen endast är leasing (antingen pekar på SonicWALLs interna DHCP eller vidarebefordrar till en annan DHCP-server); Vi har kunder som har avsatt en separat subnet för GVC-anslutningar och alla leasings i det subnetet är statiska.
Som andra har påpekat är dock en MAC-adress en trivial sak att förfalska - så även om du ville lyckas implementera något skulle det inte vara det mest effektiva eftersom listiga användare sannolikt skulle kringgå det om de får tag på en vitlistad MAC.
Inte på denna brandvägg och inte på NÅGON brandvägg.
Falskt.
Ur ett rent lager 2-switching och lager 3-routing perspektiv har han rätt. I ramhuvudet kan en brandvägg inte ens se MAC-adressen för en enhet på ett avlägset subnet, så det skulle inte finnas något möjligt sätt att neka ramar från den MAC-adressen på den fjärrdatorn.
Men detta kan göras på en högre nivå. Jag kan inte tala för andra leverantörer/Enheter än Cisco ASA, men ASA kan definitivt tillåta/neka eller ge särskilda behörigheter baserade på MAC-adress. Det är en del av den dynamiska access-policy-uppsättningen, som i grund och botten ‘pollar’ slutanvändar-PC för vissa attribut/värden, vilket gör att ASA kan fatta beslut baserat på dessa attribut. Det kan potentiellt gå mycket längre än bara MAC-adress, och kan inkludera saker som om ett antivirus är installerat och uppdaterat eller om en Windows-PC har vissa registervärden inställda. Mycket av detta kräver en dedikerad skanningsklient som körs på slutmaskinen och sedan rapporterar statusen tillbaka till ASA.
Så i sammanhanget av dataplans-trafik, nej, en brandvägg kan inte neka något baserat på MAC-adressen för någon fjärrenhet, eftersom den MAC-adressen aldrig skulle ses. Men att säga att ingen brandvägg kan begränsa VPN-åtkomst baserat på MAC-adress är definitivt fel.
Det kan i teorin göras med en klientbaserad agent som utför klientbedömning, men i allmänhet är de 100 % rätt att brandväggen inte kan göra detta direkt för fjärranslutningar eftersom MAC-adressen bara presenteras på lag 2 på det lokala nätverket.
Alla i tråden har sagt det, men jag säger det också.
Datorns MAC-adress förloras så snart den går ut från en lag 3-anslutning. Den kan inte återvinnas av någon enhet eftersom informationen som registrerar MAC-adressen faktiskt raderas och skrivs över. Det enda sättet att filtrera baserat på MAC är att använda någon typ av VPN-agent som registrerar MAC:en. Som någon nämnde kan Anyconnect eventuellt göra detta.
Jag vet inte om SonicWalls kan utföra certifikatbaserad autentisering. Men om så är fallet kan brandväggen autentisera baserat på klientens certifikat på datorn, inte bara användarnamn/lösenord.
Några VPN-lösningar (Pulse Secure) har en “host checker”-komponent som körs som en del av anslutningsprocessen och inte tillåter klienten att ansluta om den inte uppfyller de angivna kriterierna. Du måste använda deras VPN-klient dock, inte Windows.
Du kan konfigurera host checker-regler och bestämma vad som händer om någon av dessa regler misslyckas (visa varning, vägra anslutning, etc).
Så du borde kunna nå ditt mål med det. Vilket jag antar är egentligen “vi vill bara att kända betrodda datorer ska ansluta till vår VPN, inte slumpmässiga maskiner”.
Ingen aning om Sonicwall har detta dock. Du kan behöva en dedikerad VPN-enhet.
Du kan inte begränsa anslutning via MAC såvida du inte är på samma nätverk. Jag är säker på att Sonicwall har någon sorts Host checking-abonnemang som du sannolikt kan prenumerera på. Det gör att du kan kontrollera att antivirus och uppdateringar är korrekta. Det finns mycket sätt att implementera detta utan MAC-adresser, du behöver bara välja ett.
Det finns andra sätt att autentisera och säkerställa att enheten är den rätta.
Jag skulle välja certifikatbaserad autentisering som är kopplad till enheten, ja någon kan exportera certifikatet men någon kan också förfalska MAC-adressen om det var möjligt att autentisera mot den, vilket denna tråd redan gjort klart.
Det är bra att veta, tack. Vi begränsar våra företagsappar till att endast kunna nås om du är på vårt interna nätverk med en SSO-leverantör. Det fungerar. Vi har begränsat inloggningen till vår SSO så att användaren bara kan logga in om de är inom vårt nätverk. När vi gör “vad är min IP” får hela företaget samma publika IP.
Vi använder L2TP med fördelad nyckel eftersom detta är en SSL-anslutning och Sonicwall tillåter upp till 202 samtidiga SSL-anslutningar medan det bara tillåter, om jag minns rätt, 27 Global VPN-anslutningar…
men för att svara på din fråga, för macOS använder vi den inbyggda L2TP över IPsec, som är macens inbyggda VPN-konfiguration, samma för Windows, vi använder Windows inbyggda VPN-anslutning, L2TP med fördelad nyckel eftersom.
Ja.. jag inser sakta att Sonicwall är en låg/mellannivå-brandvägg. Den fungerar bra, men jag tror att vi behöver en mer robust brandvägg, som Palo Alto eller Cisco.
