|
Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
Ol� Julio,
Concordo plenamente com
vc!!
Usar MAC � totalmente ridiculo,
mas fazer o que n�, � um aumento de seguran�a que vou ter, t� certo que irei ter
tb um aumento de trabalho, s� que o ambiente que tenho aqui � cr�tico, a cita��o
que vc fez de trocar placa de rede e tal, aqui s� ir� acontecer queimar a placa
pois a maioria s�o servidores HP e SUN.
A necessidade do MAC � que ele �
universal, n�o existe outro numero no mundo, e caso seja duplicado n�o
funcionar� na mesma rede. (Me corrijam se estiver errado???).
Esse 4� cita��o que vc fez n�o
se aplicar� nunca, pois se o cara conseguir mudar o endere�o MAC ele estar� com
acesso de root, se ele estiver com acesso de root a ultima coisa que ele
pensaria em fazer em meu servidor era trocar o MAC, antes disso, ou ele
destruiria meus dados, ou colocaria algum BackDoor para posterior entrada. E
ainda n�o se esque�a que h� a amarra��o do IP com o MAC do server, n�o adiantar�
de maneira alguma, ele ter o IP ou ter somente o MAC. Ele tem que ter os dois e
como citei acima, o MAC em redes iguais (ou redes que se comunicam) n�o
funcionar� (Mais uma vez me corrijam se estiver errado).
O MAC tb me protege contra um
suposto SPOOFING. Pois o invasor iria precisar do MAC.
Existe outras t�cnicas de burlar
o MAC, trabalhando com cache, mas at� a�....
O que � esse tal Multinetting??
Dois IPs no mesmo MAC?
Abra�o,
----- Original Message -----
Sent: Thursday, January 18, 2001 12:36
PM
Subject: [redewan] RE: [redewan] Re:
[redewan] RE: [redewan] Re: [redewan] RE: [redewan] Re: [redewan] Acesso
Remoto. (Mudando um pouco a Solu��o)
Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
So
nao entendi a necessidade do MAC, a amarracao por IP de destino nao seria o
suficiente ? Sem contar que :
1-
Trocar a placa do micro == reconfigurar o ACS
2-
Colocar o servidor atras de uma entidade layer 3 (um router) == Reconfigurar o
ACS E perder a seguranca
3-
Usar multinet no servidor (passa a ter mais que um IP para aquele MAC) pode
diminuir a seguranca, pelo que sei, estes "virtual hosting" sao sempre com o
maldito multinetting.
4-
Se o invasor "Mutretear" o mac de destino de uma outra maquina (um ifconfig da
vida).
Eu
tenho meus preconceitos com usar o MAC address como seguranca, em qualquer
nivel (VLAN por mac, Bah !) :-)
Lista de Discuss�o Rede Wan -
http://www.networkdesigners.com.br
Ok vamos l�,
Vamos fazer de conta que n�o
existe usu�rio Dial-Up no momento, Ok?
Tenho em minha empresa as
seguintes aplica��es: Billing e Monitoramento. A aplica��o de billing tem o
numero de telefone para acesso remoto fixo 5555-1037 e a de monitoramento tb
tem outro numero 5555-1038.
Uso em minha empresa como
solu��o de acesso remoto um Cisco 3661, e para cuidar de minha VPN o ACS da
Cisco Secure e o Pix Firewall.
Como trabalharia o
ACS:
O ACS � capaz de amarrar o
IP e o MAC ADDRESS da aplica��o
(pessoal � aplica��o(m�quina) e n�o usu�rio Dial-Up) Ex.:
aplica��o Billing IP 172.17.110.1 - MAC
00-50-DA-B5-92-CF.
At� aqui beleza isso �
totalmente poss�vel, Ok?
Agora vamos colocar o
usu�rios Dial-Up na jogada....
Meu usu�rio est� precisando
se conectar nesta aplica��o de Billing, ele vai l� disca o numero da
aplica��o e � dado o IP a ele da minha rede, a� � que o ACS entra de novo na
jogada.
Se lembre que j� tem uma
regra, daquela amarra��o do IP e do MAC ADDRESS da aplica��o, a� entrar� uma
outra regra que associar� o IP do usu�rio com a regra que foi feita para a
aplica��o (aquela do IP e do MAC ADDRESS). E ent�o acontecer� o seguinte, se
o usu�rio tentar sair da aplica��o para alguma outra ele n�o poder�
pois todo esse conjunto de regras faz com que ele fica ali na aplica��o,
devido a regra que coloca na jogada o endere�o fisico.
Mas a� vc me pergunta, essa
regra � furada pois o cara pode trafegar em sua rede via telnet, ftp,
etc. A� eu te respondo, haver� regras no Pix Firewall barrando todas essas
tentativas.
O ACS consegue fazer toda
essa jogada pq ele trabalha com profiles, eis o mist�rio da
m�gica.
Acho que ficou claro agora
n� Julio, Br�s??
Abra�o,
----- Original Message -----
Sent: Tuesday, January 16, 2001 2:16
PM
Subject: [redewan] RE: [redewan] Re:
[redewan] RE: [redewan] Re: [redewan] Acesso Remoto. (Mudando um pouco a
Solu��o)
Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
Lista de Discuss�o Rede Wan -
http://www.networkdesigners.com.br
Ol� Julio,
Pois �, quando se fala
em NT � bom averiguar a aplica��o e o n�vel de seguran�a que se deseja
ter, pois o NT para se configurar tem que se ter um bom especialista que
conhe�a o produto.
A fam�lia Cisco Secure
roda em Windows s� que a pr�pria Cisco n�o recomenda o uso. Por diversos
motivos, eles alegam que o software n�o ter� toda a versatilidade que
poderia ter rodando em um Solaris da vida.
Vc tem alguma
documenta��o desse tal Contivity???
Ja usei muito como usuario, � bem
interessante, mas era para aplicacoes mais pesadas (era os modelos
1500--4500)
Acessando o site notei que tem um tal de Contivity 600
agora, para ate 30 usuarios, e um tal de 100, para ate 5
usuarios ?!
Se eles rodam o mesmo sw dos maiores, e' um dos VPN com
maior market share, pelo que lembro..
[], <O-O>
Sobre a amarra��o do MAC
ADDRESS.......
Minha explica��o n�o
deve ter ficado totalmente nitida, na verdade o que ir� amarrar � o MAC
ADDRESS, o IP e o n� de telefone s� que da aplica��o e n�o do usu�rio
Dial-UP.
Ou seja, existe uma
amarra��o interna da aplica��o do IP e do MAC ADDRESS e quando o usu�rio
disca para o numero da determinada aplica��o existir� uma segunda
amarra��o que juntar� com a primeira e formar� uma dupla amarra��o (que
nome feio!!!!). Fica mais ou menos assim, quando o cara discar (devido a
esta amarra��o) ele ficar� somente naquela aplica��o.
Fui claro????
Meu cerebro esta em ponto-morto no momento, nao
consegui entender a parte do MAC ainda.
A autenticacao/filtros associados a DNIS eu creio
que entendi.
To unsubscribe, write to [EMAIL PROTECTED]
To unsubscribe, write to [EMAIL PROTECTED]
To unsubscribe, write to
[EMAIL PROTECTED]
To unsubscribe, write to [EMAIL PROTECTED]
|
