Вже надано велику кількість фізичних рішень, тому я хотів би надати програмне забезпечення, яке, звичайно, також можна використовувати додатково фізичними заходами.
Поставте якусь безпеку порту (бажано, 802.1X) - хоча білі списки MAC можна порівняно легко обійти, я хотів би бачити, щоб хтось обходив 802.1X, не розбираючи фізично ваші лабораторні машини.
Також поставте табличку, в якій пояснюється, що зняття кабелів тепер корисне лише для того, щоб розлютити Сисадміна, і що вони не сподобаються йому, коли він сердиться. ( Дуже рекомендується публічне відображення LART .)
Якщо у вас є нахили BOFH: Зробіть кабелі працювати навіть для несанкціонованих користувачів, але призначте їм спеціальний діапазон IP. Введіть доступ до будь-яких аутентифікованих служб із зазначеного діапазону IP та заблокуйте облікові записи користувачів. Таким чином, вони прийдуть до вас, щоб забрати їх покарання, і вам не потрібно постійно спостерігати за журналами та негайно спринтуватись до правильного місця для лову людини (ви все ще можете зробити це для доданих "всіх -визначення ефекту адміністратора). Або просто перенаправити все на форму для входу та підключити його до сценарію "заблокувати рахунок при правильному вході". Ви будете вражені, скільки користувачів досить німі, щоб спробувати. (Спочатку, я хотів би запропонувати просто чорний список їх MAC , так що їх ноутбук не працює в будь-якому місці в мережі, але оскільки MAC можна підробляти так легко, це може бути легко обійти і призвести до неприємних пустощів.)
Якщо вам приємно і хочете надати доступ через кабель: зробіть те, що зробив мій університет, додайте другий NIC, додайте до нього 1,5-метровий мережний кабель і прокладіть маршрут / міст / все, що є в мережі. (Усі кабелі позаду ПК проходять через гігантську застібку-блискавку, щоб ускладнити крадіжку кабелів, мишей тощо.) У моєму університеті користувачі мають увійти на ПК та активувати згаданий кабель там, переконуючись, що користувачі можуть використовувати лише автентифіковані користувачі він і весь доступ можуть бути віднесені користувачеві. Наскільки я знаю, відключення кабелю "висхідної лінії" від ПК та прямий доступ до нього перешкоджає 802.1X.