Almacenamiento de la dirección MAC de una computadora en Active Directory

4

Estoy considerando habilitar WoL (Wake on LAN) en las estaciones de trabajo en mi red.

Para arrancar una estación de trabajo utilizando WoL, necesito su dirección MAC. Podría almacenar la dirección MAC en una base de datos, sin embargo, preferiría almacenarla como un atributo del objeto de computadora en AD. Mi intención es escribir un script de inicio que escriba la dirección MAC en un atributo de repuesto en AD.

No he podido pensar en ninguna de las implicaciones de seguridad que esto pueda presentar, pero me gustaría preguntar a la comunidad si hay algo que estoy pasando por alto o debo tener en cuenta antes de implementar esto.

    
pregunta Fitzroy 30.08.2013 - 22:16
fuente

2 respuestas

1

Algunas personas consideran que la dirección MAC es "algo secreta". Esto es erróneo, pero tenga en cuenta que hacer públicas las direcciones MAC puede generar cierta cantidad de nerviosismo. Puede que tengas que justificarte.

Por ejemplo, una opción de configuración bastante común en "conmutadores inteligentes" es restringir cada puerto Ethernet a un solo MAC o solo a una lista corta de direcciones MAC; este es un intento de desalentar a los empleados de traer su propio dispositivo . No es un sistema de seguridad fuerte; se puede contrarrestar fácilmente configurando la dirección MAC de un dispositivo externo a un valor específico. Sin embargo, esto ha contribuido a propagar la idea de que la dirección MAC es un tipo de contraseña, de ahí el nerviosismo por la publicación.

Wake on LAN se encuentra en una situación similar: dado que permite que las máquinas se activen de forma remota, podría , potencialmente, ser utilizado por un atacante para atacar máquinas apagadas. En ese sentido, apagar la máquina ya no es la máxima seguridad.

(Puede convertirse en una interesante DoS . Una computadora que arranca usa más poder que una computadora que simplemente está "arriba"; estos efectos duran solo unos segundos, hasta que todos los discos duros están a la velocidad y la CPU ha finalizado sus autocomprobaciones de arranque. Con un Wake-on-LAN genérico, es posible Despierte un grupo de máquinas simultáneamente y sobrecargue los fusibles. He conocido una sala de computadoras que puede manejar todos los sistemas en funcionamiento, pero no todos los sistemas iniciando . Así que las máquinas tuvo que configurarse para que no se encienda automáticamente cuando la energía vuelve después de una escasez. Un Wake-on-LAN generalizado puede permitir el mismo tipo de efecto.)

    
respondido por el Thomas Pornin 30.08.2013 - 22:29
fuente
1

El desafío, como mencionó Thomas Pornin, es mantener la información de la dirección MAC segura y no innecesariamente pública.

Aquí hay algunas ideas que vienen a la mente

  • Extienda el esquema de AD para acomodar los datos. Es posible que pueda usar el permiso self y guardarlo en el objeto Usuario (el script de inicio de sesión se ejecuta en el contexto del usuario)

  • Escriba los datos en un servidor web, que a su vez los escribe en AD. Esta es más una forma de enviar las escrituras a AD, y podría ser útil en situaciones de auditoría.

  • Encuentre un atributo en el que pueda usar el indicador integrado . Esto puede funcionar mejor si utiliza el enfoque de servidor web anterior y no desea extender el esquema. De esa manera, puede guardar información en un atributo no utilizado como jpegPhoto , o cualquier otra cosa.

respondido por el random65537 30.08.2013 - 23:20
fuente

Lea otras preguntas en las etiquetas