Mac address security regelen voor alle Cisco switches

Ja, via bijvoorbeeld een Radius server kan je het centraal regelen. Maar je kan de switch ook in "learning mode" zetten zodat de huidige MAC-adressen ge-allowed worden.
Dit kan met het mac adress learning commando.

[ Voor 6% gewijzigd door Remco op 16-07-2012 14:17 ]

de vraag is of je verder wilt gaan met mac authenticatie. Het is veel beheer, en eigenlijk niet zo heel veilig. Mischien kan je beter kijken naar 802.1x. Zeker in combinatie met een microsoft NPS server is die drempel echt zo hoog niet meer, en dan kan je het in een keer goed doen. (bijvoorbeeld met machine authenticatie met een certificaat, of user authenticatie aan active directory. Ben je direct klaar voor goed en veilig wifi

Wat je zoekt is 802.1x MAB, dit is alleen onveilig.
Voor een veiligere mogelijkheid zou je 802.1x in combinatie met Microsoft NAP / Cisco NAC kunnen gebruiken, zoals overhyped al adviseerde

kokkel schreef op dinsdag 17 juli 2012 @ 11:27:
Wat je zoekt is 802.1x MAB, dit is alleen onveilig.
Voor een veiligere mogelijkheid zou je 802.1x in combinatie met Microsoft NAP / Cisco NAC kunnen gebruiken, zoals overhyped al adviseerde

Nog los van de onveiligheid (even m'n cissp pet op: Ik ken de risico analyse niet, misschien is het wel prima veilig genoeg ) het is een ramp om te beheren, tenzij je heel onzeker over je baan bent, en je 'm graag op niet valide gronden houd zou ik d'r niet aan beginnen

Dan liever 802.1x.

TS: wat vindt jij d'r van?

Vroeger wel maar tegenwoordig niet meer dot1x is de vervanger. .

CORVETTE schreef op zondag 22 juli 2012 @ 08:41:
Ik weet het nog niet

Ik zoek gewoon een simpele manier zodat zowel externen als internen niet zomaar wat apparatuur inprikken op ons lan.
Heeft Cisco niet iets, zodat ik op de core switches een volledige mac adressen lijst kan hebben, die de rest kan uitlezen ?

Maar dat is volgens mij heel wat anders. Als iemand een poortje nodig heeft, dan moet ie dat aanvragen. De rest van de poortjes moet dan gewoon dicht staan. Dan kun je iddd learning mode icm port-sec gebruiken, maar zoals gezegd veel werk. (Dan wordt tooling toch handig, zeker als je veel err-disable incidenten krijgt)

CORVETTE schreef op zondag 22 juli 2012 @ 08:41:
Ik weet het nog niet

Ik zoek gewoon een simpele manier zodat zowel externen als internen niet zomaar wat apparatuur inprikken op ons lan.
Heeft Cisco niet iets, zodat ik op de core switches een volledige mac adressen lijst kan hebben, die de rest kan uitlezen ?

Ik zou je willen adviseren om toch eens wat te lezen over switchport security op de website van Cisco. Ik vermoed dat dan al je vragen beantwoord worden.

CORVETTE schreef op zondag 22 juli 2012 @ 08:41:
Ik weet het nog niet

Ik zoek gewoon een simpele manier zodat zowel externen als internen niet zomaar wat apparatuur inprikken op ons lan.
Heeft Cisco niet iets, zodat ik op de core switches een volledige mac adressen lijst kan hebben, die de rest kan uitlezen ?

een basis Ja/Nee 802.1x configuratie is echt zo moeilijk niet meer, de laatste keer dat ik 't gedaan heb was 't een dagje werk.

Als je 't ingewikkeld wil maken: dus met goede support voor het inspoelen van machines, posture checks, guest access etc. etc. etc. dan wordt het ingewikkelder (en leuker ) maar de basis: zo gedaan!

Overhyped gaat voor een 100% dekking van 802.1x enabled switchpoorten in 't bedrijfsleven in Nederland