Mi piacerebbe differenziare le macchine (o, eventualmente, gli utenti) sulla mia piccola rete aziendale in modo che solo alcune di esse abbiano accesso a Internet. La soluzione che ho usato fino ad oggi è piuttosto terribile: i clienti che dovrebbero avere accesso a Internet hanno un indirizzo IP specifico in base al loro indirizzo MAC o identificativo.
A sua volta, il firewall ha impostazioni diverse per quegli indirizzi IP predefiniti.
Questo è scarso sia in termini di sicurezza che di usabilità: cambiare l'IP di un client è ancora più semplice dello spoofing di un indirizzo MAC. Inoltre, aggiungere una nuova macchina alla rete implica aggiungere una voce sul server DNS e modificare le impostazioni del firewall.
Quale sarebbe il modo corretto di limitare l'accesso a Internet da parte dei clienti (o, eventualmente, degli utenti)?
Alcuni dettagli sull'ambiente:
- è per una rete di piccole imprese che funge anche da rete domestica;
- ci sono circa 15 utenti + ospiti;
- ci sono circa 23 client sulla rete + 10 client mobili;
- alcuni client hanno bisogno di accedere solo alla LAN, altri (soprattutto telefoni) hanno bisogno di accedere solo alla WAN, altri (punti di accesso) a entrambi;
- 2 NAS principali, 1 NAS di backup e alcuni NAS domestici per il backup dei client;
- un router Cisco 1921 con un IOS IPsec non aggiornato,
- un interruttore Netgear FS 526T;
- 2 punti di accesso wireless, di cui la modella mi sfugge proprio ora; Credo che facciano parte della gamma Cisco Small Business;
- la totale mancanza di affari ultimamente significa che investimenti superiori a poche centinaia di euro sono probabilmente irragionevoli.