Защита Nanostation M5 от неавторизованного доступа | Ubiquiti форум UBNT: инструкции, настройка

Защита Nanostation M5 от неавторизованного доступа

dmleev

новичок
30 Сен 2012
6
0
0
Самара
Клиентская М5 стоит на крыше офисного здания. Теоретически кто-то, кто имеет доступ на крышу, может спокойно воткнуть свой кабель во второй порт (или в основной, отключив клиента) и поиметь доступ в локалку. Можно как-то закрыть доступ для всех устройств, кроме одного определенного (например, по МАС-адресу)?
 

Андрей

новичок
26 Сен 2012
32
0
0
Проблемы надо решать по мере их поступления, а не выдумывать.
Кто-то может иметь доступ, а может и не иметь. И даже при наличии доступа ещё вопрос, захочет ли он влезть в Вашу локалку или нет.
Если всё же Вас это беспокоит, то ставьте свой девайс так, чтобы он был недосягаем, или в пластиковый ящик, который закрываете на висячий замочек.
Понятно, что такая упаковка не сейф, но это своего рода психологический барьер, т.к. далеко не каждый отважится ломать замочек, т.к. это уже взлом.
Можете поставить и контакт для сигнализации и провод от него провести параллельно витой паре к сигналке.
В общем есть пути решения проблем.
 
Автор
D

dmleev

новичок
30 Сен 2012
6
0
0
Самара
Под "кем-то" я подразумеваю собственников здания, у которых проявляется интерес к тому, что есть на крыше. И у которых есть свои техники, которых могут попросить проверить, что там такое. Точнее, не просто "что", а что именно оно делает. И вероятность того, что это произойдет достаточно велика, чтобы ее игнорировать. Так что физическая защита попросту отпадает. Сигнализация вещь интересная, но даже на случай срабатывания надо городить какую-то автоматизацию для отключения локалки, что достаточно сложно и ненадежно. Поэтому и интересует самый простой вариант - дать доступ на клиентское устройство только одному клиенту.
Понимаю, это кажется параноей, но в данном случае важна защита внутренней сети именно от такой возможности проникновения.
 
U

ubnt.su

Guest
отключить второй сетевой интерфейс программно нельзя (физически тоже без разборки).

в таких случаях как правило ограничивают доступ только с одним мас-адресом на принимающем роутере. можете залить смолой весь отсек. можете купить голографическую наклейку, пишущую void при срывании, и периодически её проверять, можете заклеить крышку по периметру.

мне сложно представить собственника, занимающегося воровством чужой локалки на своей крыше.
 
Автор
D

dmleev

новичок
30 Сен 2012
6
0
0
Самара
ubnt.su, спасибо за ответ. Значит, будем настраивать локалку для разделения доступа.

Мне тоже, но такую вероятность в конкретном случае не могу исключить. А т.к. передаваемые данные весьма ценные, то приходится извращаться.
 
Автор
D

dmleev

новичок
30 Сен 2012
6
0
0
Самара
Итак, найденное решение программного отключения порта.

Создать файл: rc.poststart в /etc/persistent/

#!/bin/bash
ifconfig eth1 down

Сохранить его и выполнить команду: cfgmtd -w -p /etc/

После этого перезагрузить устройство.

Возможно, кому-то еще пригодится.
 
U

ubnt.su

Guest
Спасибо! Уточним, что предварительно нужно зайти в устройство по ssh с правами админа.