Change background image

Защита Nanostation M5 от неавторизованного доступа

Тема в разделе 'UBIQUITI Общий форум', создана пользователем dmleev, 18 янв 2013.

  1. dmleev

    dmleev новичок

    Регистрация:
    30 сен 2012
    Сообщения:
    6
    Симпатии:
    0
    Баллы:
    0
    Адрес:
    Самара
    Клиентская М5 стоит на крыше офисного здания. Теоретически кто-то, кто имеет доступ на крышу, может спокойно воткнуть свой кабель во второй порт (или в основной, отключив клиента) и поиметь доступ в локалку. Можно как-то закрыть доступ для всех устройств, кроме одного определенного (например, по МАС-адресу)?
     
  2. Андрей

    Андрей новичок

    Регистрация:
    26 сен 2012
    Сообщения:
    32
    Симпатии:
    0
    Баллы:
    0
    Проблемы надо решать по мере их поступления, а не выдумывать.
    Кто-то может иметь доступ, а может и не иметь. И даже при наличии доступа ещё вопрос, захочет ли он влезть в Вашу локалку или нет.
    Если всё же Вас это беспокоит, то ставьте свой девайс так, чтобы он был недосягаем, или в пластиковый ящик, который закрываете на висячий замочек.
    Понятно, что такая упаковка не сейф, но это своего рода психологический барьер, т.к. далеко не каждый отважится ломать замочек, т.к. это уже взлом.
    Можете поставить и контакт для сигнализации и провод от него провести параллельно витой паре к сигналке.
    В общем есть пути решения проблем.
     
  3. dmleev

    dmleev новичок

    Регистрация:
    30 сен 2012
    Сообщения:
    6
    Симпатии:
    0
    Баллы:
    0
    Адрес:
    Самара
    Под "кем-то" я подразумеваю собственников здания, у которых проявляется интерес к тому, что есть на крыше. И у которых есть свои техники, которых могут попросить проверить, что там такое. Точнее, не просто "что", а что именно оно делает. И вероятность того, что это произойдет достаточно велика, чтобы ее игнорировать. Так что физическая защита попросту отпадает. Сигнализация вещь интересная, но даже на случай срабатывания надо городить какую-то автоматизацию для отключения локалки, что достаточно сложно и ненадежно. Поэтому и интересует самый простой вариант - дать доступ на клиентское устройство только одному клиенту.
    Понимаю, это кажется параноей, но в данном случае важна защита внутренней сети именно от такой возможности проникновения.
     
  4. ubnt.su

    ubnt.su Guest

    отключить второй сетевой интерфейс программно нельзя (физически тоже без разборки).

    в таких случаях как правило ограничивают доступ только с одним мас-адресом на принимающем роутере. можете залить смолой весь отсек. можете купить голографическую наклейку, пишущую void при срывании, и периодически её проверять, можете заклеить крышку по периметру.

    мне сложно представить собственника, занимающегося воровством чужой локалки на своей крыше.
     
  5. dmleev

    dmleev новичок

    Регистрация:
    30 сен 2012
    Сообщения:
    6
    Симпатии:
    0
    Баллы:
    0
    Адрес:
    Самара
    ubnt.su, спасибо за ответ. Значит, будем настраивать локалку для разделения доступа.

    Мне тоже, но такую вероятность в конкретном случае не могу исключить. А т.к. передаваемые данные весьма ценные, то приходится извращаться.
     
  6. dmleev

    dmleev новичок

    Регистрация:
    30 сен 2012
    Сообщения:
    6
    Симпатии:
    0
    Баллы:
    0
    Адрес:
    Самара
    Итак, найденное решение программного отключения порта.

    Создать файл: rc.poststart в /etc/persistent/

    #!/bin/bash
    ifconfig eth1 down

    Сохранить его и выполнить команду: cfgmtd -w -p /etc/

    После этого перезагрузить устройство.

    Возможно, кому-то еще пригодится.
     
  7. ubnt.su

    ubnt.su Guest

    Спасибо! Уточним, что предварительно нужно зайти в устройство по ssh с правами админа.
     
  8. dmleev

    dmleev новичок

    Регистрация:
    30 сен 2012
    Сообщения:
    6
    Симпатии:
    0
    Баллы:
    0
    Адрес:
    Самара
    Без этого никуда :)
     

Поделиться этой страницей