Begränsning av MAC-adresser

Ett sätt att begränsa åtkomsten till nätet är att kontrollera vilken MAC-adress (dvs Ethernetadress eller motsvarande) en dator har och bara släppa in rätt adresser (som man då måste ha en lista över).

En fördel är att man kan göra detta redan i switchen eller den trådlösa accesspunkten, utan att IP-adresser osv är inblandat. Man behöver inte heller låta någon användare logga in (det är ju datorn eller nätverkskortet som sådant man godkänner, inte användaren).

Den riktigt stora nackdelen är såklart att någon som vet eller kan ta reda på en accepterad MAC-adress kan ställa om sin dator till att ha den adressen, och på så sätt komma in. Om alternativet är ett helt öppet nät helt utan kontroller så kan det ju ändå vara att föredra.

Hur man ställer in godkända MAC-adresser varierar mellan utrustningarna. Vissa switchar ger också möjlighet att inte bara släppa in eller spärra, utan också placera datorn på rätt VLAN beroende på MAC-adressen (Cisco kallar detta dynamic VLAN, VQP, VMPS; HP kallar det MAC-based authentication).

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt