Re: [CentOS-es] Seguridad de MAC contra IP
Saludos. Usa el comando arp en ambos servidores (man arp): arp -s address hw_addr : para fijar la mac al IP arp -d address: para borrar la mac guarda la asignacion en archivos de texto y ejecutala al arranque del sistema y listo. Si tienes switchs administrables, fija la mac del pc en cada puerto, o colocalo en modo de autoaprendizaje de una sola mac. En todo caso, esto de fijar la mac y el IP no es nada recomendable para equipos de usuario final ... es mejor buscar soluciones al problema del robo de IP's, permisos de navegacion, permisos de acceso a servicios de red por otros lados. Hasta la proxima. Carlos 2009/5/19 luisito : > > Hola > > Les espongo mi topologia de red para que entiendan mi problema: > > Administro un Departamento de mi Universidad. > > Tengo el cable de mi proveedor de servicios de redes conectado a un > Servidor Ossim, el mismo tiene 3 tarjetas de redes, una para el cable > del proveedor, otra para la red publica, y la tercera para la red > privada o sea los server, cada una tiene rangos de ip diferentes. > > En la red privado o sea los server, tengo un Centos 5.2 el cual brinda > los servicios de red, ahora que me estan pidiendo: > > Me piden que en primer lugar en el Ossim que sirve como router y > firewall, aclaro que esto es una maquina con la distro Ossim corriendo, > establesca mac contra ip de forma que obligue a los usuarios a conservar > las ip asignadas de forma que si cambian la ip no puedan navegar ni > siquiera por mi red o sea se queden sin ningun tipo de comunicacion de > red. Ademas que esto mismo se replique en el server Centos, que aunque > el Ossim sierve de puerta de enlace, el Centos no permita conexiones a > el si no hay correlacion entre mac e ip al igual que en el ossim. > > Estoy buscando las mejores formas de en ambos sistemas hacer las tablas > arp estaticas para lograr esto. > > Escucho comentarios, criticas, sugerencias, links, experiencias y > cualquier otra cosa que me sirva para implementar esto, por favor > ayudenme pues no dispongo de mucho tiempo. > > salu2 > --- > luisito > > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Seguridad de MAC contra IP
Infinitas gracias a Carlos. Pero existe un detalle que no comente, me disculpo, no se me permite tener dhcp, solo ip estaticas. O sea tengo que buscar una forma de anclar mac contra ip estaticas y ademas resolver que si los usuarios cambian el ip no navegen. Agradezco comentarios. carlos restrepo escribió: Luis, en el archivo del dhcp se pueden "amarrar" las mac para que siempre asigne las mismas ip a los equipos clientes. este es un pequeño ejemplo de como "amarrar ips a las mac", es la misma configuración que tengo en un Centos 4.7 que tiene los servicios de red de la empresa para la que trabajo. # Scope Principal subnet 192.168.0.0 netmask 255.255.255.0 { option netbios-node-type 8; option netbios-name-servers 192.168.0.2; option domain-name-servers 192.168.0.3, 192.168.0.4; option domain-name "pepito.pepito.net"; option routers 192.168.0.1; allow client-updates; allow unknown-clients; ddns-updates on; ddns-domainname "pepito.pepito.net"; range dynamic-bootp 192.168.0.5 192.168.0.253; # Primer ejemplo host portatil-gerente { hardware ethernet 00:80:9f:03:8c:e4; fixed-address 192.168.0.53; } # segundo ejemplo host portatil-jefe-prod { hardware ethernet 00:10:9f:03:8c:f4; fixed-address 192.168.0.159; } Y asi sucesivamente vas mapeando una a una las ip y sus mac. Como sugerencia te doy que permitas que el dhcp se las asigne primero, luego la que asigno le buscas la mac y se la mapeas al dhcpd.conf, el detalle interesante radica en como bloquear el que aunque el usuario cambie la ip no lo deje navegar?, se me ocurre con con reglas de iptables... El archivo /var/lib/dhcp/dhcpd.leases guarda un registro de mac e ips que va asignado. Espero esto de te una luz. Saludos Cordiales. Carlos R! El 19 de mayo de 2009 15:31, luisitoescribió: Hola Les espongo mi topologia de red para que entiendan mi problema: Administro un Departamento de mi Universidad. Tengo el cable de mi proveedor de servicios de redes conectado a un Servidor Ossim, el mismo tiene 3 tarjetas de redes, una para el cable del proveedor, otra para la red publica, y la tercera para la red privada o sea los server, cada una tiene rangos de ip diferentes. En la red privado o sea los server, tengo un Centos 5.2 el cual brinda los servicios de red, ahora que me estan pidiendo: Me piden que en primer lugar en el Ossim que sirve como router y firewall, aclaro que esto es una maquina con la distro Ossim corriendo, establesca mac contra ip de forma que obligue a los usuarios a conservar las ip asignadas de forma que si cambian la ip no puedan navegar ni siquiera por mi red o sea se queden sin ningun tipo de comunicacion de red. Ademas que esto mismo se replique en el server Centos, que aunque el Ossim sierve de puerta de enlace, el Centos no permita conexiones a el si no hay correlacion entre mac e ip al igual que en el ossim. Estoy buscando las mejores formas de en ambos sistemas hacer las tablas arp estaticas para lograr esto. Escucho comentarios, criticas, sugerencias, links, experiencias y cualquier otra cosa que me sirva para implementar esto, por favor ayudenme pues no dispongo de mucho tiempo. salu2 --- luisito ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Carlos Restrepo M. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- salu2 --- luisito ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Seguridad de MAC contra IP
Luis, en el archivo del dhcp se pueden "amarrar" las mac para que siempre asigne las mismas ip a los equipos clientes. este es un pequeño ejemplo de como "amarrar ips a las mac", es la misma configuración que tengo en un Centos 4.7 que tiene los servicios de red de la empresa para la que trabajo. # Scope Principal subnet 192.168.0.0 netmask 255.255.255.0 { option netbios-node-type 8; option netbios-name-servers 192.168.0.2; option domain-name-servers 192.168.0.3, 192.168.0.4; option domain-name "pepito.pepito.net"; option routers 192.168.0.1; allow client-updates; allow unknown-clients; ddns-updates on; ddns-domainname "pepito.pepito.net"; range dynamic-bootp 192.168.0.5 192.168.0.253; # Primer ejemplo host portatil-gerente { hardware ethernet 00:80:9f:03:8c:e4; fixed-address 192.168.0.53; } # segundo ejemplo host portatil-jefe-prod { hardware ethernet 00:10:9f:03:8c:f4; fixed-address 192.168.0.159; } Y asi sucesivamente vas mapeando una a una las ip y sus mac. Como sugerencia te doy que permitas que el dhcp se las asigne primero, luego la que asigno le buscas la mac y se la mapeas al dhcpd.conf, el detalle interesante radica en como bloquear el que aunque el usuario cambie la ip no lo deje navegar?, se me ocurre con con reglas de iptables... El archivo /var/lib/dhcp/dhcpd.leases guarda un registro de mac e ips que va asignado. Espero esto de te una luz. Saludos Cordiales. Carlos R! El 19 de mayo de 2009 15:31, luisito escribió: > > Hola > > Les espongo mi topologia de red para que entiendan mi problema: > > Administro un Departamento de mi Universidad. > > Tengo el cable de mi proveedor de servicios de redes conectado a un > Servidor Ossim, el mismo tiene 3 tarjetas de redes, una para el cable > del proveedor, otra para la red publica, y la tercera para la red > privada o sea los server, cada una tiene rangos de ip diferentes. > > En la red privado o sea los server, tengo un Centos 5.2 el cual brinda > los servicios de red, ahora que me estan pidiendo: > > Me piden que en primer lugar en el Ossim que sirve como router y > firewall, aclaro que esto es una maquina con la distro Ossim corriendo, > establesca mac contra ip de forma que obligue a los usuarios a conservar > las ip asignadas de forma que si cambian la ip no puedan navegar ni > siquiera por mi red o sea se queden sin ningun tipo de comunicacion de > red. Ademas que esto mismo se replique en el server Centos, que aunque > el Ossim sierve de puerta de enlace, el Centos no permita conexiones a > el si no hay correlacion entre mac e ip al igual que en el ossim. > > Estoy buscando las mejores formas de en ambos sistemas hacer las tablas > arp estaticas para lograr esto. > > Escucho comentarios, criticas, sugerencias, links, experiencias y > cualquier otra cosa que me sirva para implementar esto, por favor > ayudenme pues no dispongo de mucho tiempo. > > salu2 > --- > luisito > > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- Carlos Restrepo M. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Seguridad de MAC contra IP
Hola Les espongo mi topologia de red para que entiendan mi problema: Administro un Departamento de mi Universidad. Tengo el cable de mi proveedor de servicios de redes conectado a un Servidor Ossim, el mismo tiene 3 tarjetas de redes, una para el cable del proveedor, otra para la red publica, y la tercera para la red privada o sea los server, cada una tiene rangos de ip diferentes. En la red privado o sea los server, tengo un Centos 5.2 el cual brinda los servicios de red, ahora que me estan pidiendo: Me piden que en primer lugar en el Ossim que sirve como router y firewall, aclaro que esto es una maquina con la distro Ossim corriendo, establesca mac contra ip de forma que obligue a los usuarios a conservar las ip asignadas de forma que si cambian la ip no puedan navegar ni siquiera por mi red o sea se queden sin ningun tipo de comunicacion de red. Ademas que esto mismo se replique en el server Centos, que aunque el Ossim sierve de puerta de enlace, el Centos no permita conexiones a el si no hay correlacion entre mac e ip al igual que en el ossim. Estoy buscando las mejores formas de en ambos sistemas hacer las tablas arp estaticas para lograr esto. Escucho comentarios, criticas, sugerencias, links, experiencias y cualquier otra cosa que me sirva para implementar esto, por favor ayudenme pues no dispongo de mucho tiempo. salu2 --- luisito ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es