indirizzo di porta limitato per indirizzi MAC

1

Ho un ASUS RT-AC68U router e vorrei configurare il port forwarding, ma vorrei limitare quali indirizzi MAC possono connettersi attraverso quella porta.

Il mio caso d'uso è che avrò una telecamera live e voglio collegarmi da remoto, ma voglio solo che io e un'altra persona abbiamo accesso ad esso. Sono possibili un strong nome utente / password, ma voglio anche un livello di sicurezza, voglio limitarlo ai dispositivi pre-approvati.

  1. È possibile? In caso contrario, c'è qualcos'altro che posso usare, come una VPN con restrizioni MAC?

  2. Se è possibile, è il modo migliore per farlo?

posta tlehman 06.05.2014 - 18:59
fonte

1 risposta

3

Il problema che si avrà qui ha a che fare con i confini L2 e L3 e come vengono esposti gli indirizzi MAC.

Quando un pacchetto L2 viene gestito da un gateway L3, specialmente uno che applica NAT ad esso, questo farà sì che il pacchetto venga ritrasmesso dal gateway l3 anziché inoltrato così com'è. Ciò significa che per il mondo pubblico IE la tua posizione remota vedrai il router ASUS come fonte e destinazione della conversazione, e l'endpoint remoto non saprà cosa c'è dietro il router ASUS. Ciò è contrario a una rete solo L2 in cui la logica è molto più semplice, l'indirizzo MAC viene confrontato con una tabella ARP o l'elenco di porte e gli indirizzi MAC associati a tale porta. La tabella ARP viene popolata dalle conversazioni effettuate da un client di rete durante l'interrogazione della rete al primo collegamento. Gli switch replicano quindi efficacemente il pacchetto di dati e lo inoltrano alla porta di destinazione fino al suo arrivo.

Il meglio che puoi fare è limitarlo a un IP remoto, oppure puoi applicare un livello di sicurezza più alto nello stack di rete, come nella sessione, o nell'applicazione stessa.

Il problema con gli indirizzi MAC è che sono facilmente falsi. È solo sicurezza attraverso l'oscurità perché indovinare quale MAC usare non sarebbe banale. In genere le persone utilizzano le chiavi SSL o altre più difficili per impersonare meccanismi di identificazione univoci per garantire una buona sicurezza. Ad esempio, potresti avere una VPN che consentiva solo ai membri di connettersi se avevano una chiave privata SSL corretta che era autorizzata.

Su una nota semi-correlata - consiglio vivamente di avere una Dropcam per guardare un bambino a casa. Gestisce bene il problema di sicurezza e offre un'ottima qualità HD.

    
risposta data 06.05.2014 - 20:08
fonte

Leggi altre domande sui tag