Unifi AP kihúzás / port védelem

 ( szucsati | 2019. augusztus 14., szerda - 11:16 )

Sziasztok!

Gugliztam, de nem lettem igazán okosabb. Olyan helyre kell kitennem Unifi AP-kat, ahol a fali csatlakozók elérhetők, és garantálom, hogy lesz olyan felhasználó, aki majd kihúzza az AP-t és bedugja a gépét. Szeretném azt elérni, hogy ha meg is teszi, legalább ne legyen hálózata, ne tudja használni. Természetesen a wifi viszont menjen.

Ezt hogy lenne érdemes megcsinálni? USG és Unifi switchek vannak, tehát homogén Unifi hálózatról van szó.

Előre is köszönöm a tippeket!

Attila

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

ha az elsővel akinek az alaplapja megkapja a 24/48V -t kifizettetik a javítás költségét akkor a többi megtanulja :)

Szerintem intelgensek ebből a szempontból az eszközök. Így nem lesz ilyen gond.
Viszont a kérdésre válaszolva: Szinte minden értelmesebb switch-nek meg lehet mondani, hogy tanulja meg a rá aggatott eszköz MAC címét és azután már csak azzal legyen hajlandó beszélgetni az adott porton...
--
Debian Linux rulez... :D
RIP Ian Murdock

A korábbi Unifi AP-k nem voltak ilyen okosak, fix 24V kellett nekik. Érdekes módon ugyanaz a típus, csak fiatalabb már nem ilyen.

Szintén MAC szűrésre gondoltam, csak nem egyértelmű (egyelőre), hogy Unifi-nál ez hogy is megy.

Ha az Unifi AP-hez adott PoE tápfeladó van használva, az a nem PoE képes eszközt tönkreteszi/teheti. PoE switch esetén típusfüggő a dolog.

Szerencsere az ethernet tudja a fizikat, es levalasztassal kezd :D

Az ethernet illesztőtrafó szintén tudja a fizikát és nem igazán szereti, ha egyenáramot kötnek rá...

viszont jellemzoen ket kulon frafora esik a + es a - igy meg mindig nincs galvanikus kapcsolat koztuk..

Van galvanikus kapcsolat a különböző érpárokhoz tartozó trafók között is, aminek a trafó csatlakozó felőli oldalán lévő tekercsének középleágazása az oka.

A megfelelő működéshez a különálló érpárokhoz tartozó trafók középleágazását ellenállásokon keresztül összekötik (csatlakozó felőli oldal). Ekkor a középkivezetéseken keresztül záródni tud az áramkör különböző érpárak esetén is...

A PoE-ra felkészített ethernet trafó esetén az eltérés az, hogy különálló érpárok trafóinak középkivezetései között kapacitív csatolást alkalmaznak, így a középkivezetések között nem folyhat egyenáram.

Egész sok lehetőséged van. Bár nem ismerem az unifi switcheket, mikrotikből, ciscoból indulok ki.
Külön VLAN-ba teszed az unifit, másodlagos menedmentbe, ami nem éri el a többi menedzsment hálót, a céges hálót, a netet, semmit. Onnan forgalmat nem lehet kezdeményezni kifele csak befele (te eléred az eszközt).
Az unifi menedzsment VLAN-ja nem tud taggedben lenni, ezért accessbe kell tenni a switchen, és amit csak úgy simán tagelve megkap, az lesz számára a menedzsment.
DHCP-t nem osztasz ki ebben a VLAN-ban, fix IP-vel kezeled és/vagy fix ARP táblát kezelsz IP - MAC összerendeléssel, idegen eszköz nem fog tudni kommunikálni abban. mikrotik reply-only -nak hívja ezt.
A kisugárzott SSID-ket VLAN-okba teszed, erre az unifi lehetőséget ad, pl. SSID 1: VLAN 10; SSID 2: VLAN 20, így elválasztható, hogy vendég wifi, céges wifi és a kettő nem látja egymás forgalmát, nem tud átlépni a másik VLAN-ba, ha letűzfalazod. Ebben a játékban netet max akkor kapna a gépe, ha VLAN-t is kezel. Ez azért ritka egy net tolvajtól :)

Ha lehet állíts mac cím szűrést arra a portra, hogy csak az AP-t fogadja el. Kijátszható könnyen, de egy halandó user nem fogja meghekkelni.

MAC szűrés azért nem játszik itt, mert az AP-n kívül a kliensek MAC-je is azon a porton jön.

Proci85-nél van a megoldás: Az SSID-k mögötti, net-et szolgáltató hálózatot VLAN-ba kell küldeni (ezt a Unifi rendszere kompletten lekezeli), így egy "mezei" user rádugott gépe abba a hálóba nem tud bekerülni. Untagged csak management hálóba kerül be, ahol nyilván nincs DHCP meg net.

De nem vagyok biztos abban, hogy nem lehet a management hálót is tag-elt VLAN-ba küldeni és akkor untagged csak egy blackhole-ba kerül, aki az AP helyére csatlakozik.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

megcsereled valami randomra a vezetek bekotesi sorrendet. Az AP-hez vezeto kabel persze illeszkedik a sorrendhez, es "visszacsinalja". ha valaki mas meg bedug egy rendes kabelt, annak nemlesz linkje.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

:) nem rossz..
Csak el ne felejtse dokumentálni, különben hatalmas önszivatást eredményez 5 év múlva, mint minden unofficial megoldás.

nalunk az iptelefonokhoz vasaroltunk ilyeneket
azota nem panaszkodnak, hogy nincs csatlakoztatva

https://www.comms-express.com/products/rj45-plug-lock-in-device/

Szia!

Megoldás: 802.1x + tanusítvány minden AP-nak

Switch porton engedélyezed a 802.1x authentikációt, amin ha megfelelő cert.-el auth-ol a rádugott eszköz, akkor bekapcsolja a portot a switch - máskülönben semmi nem lesz porton (kikapcsolja).

Ehhez kell egy auth. szerver pl.: radius - ami kezeli a eszköz/tanusítvány párost.

Windows szervernek van saját radius szolgáltatása (Network Policy Server), azzal is megoldható.
Linux alapon pedig a PacketFence megoldást javaslom.