Acceso a la red y certificados
El jue, 30-03-2006 a las 00:29 -0400, Miguel Angel Amador L escribió: > On 3/29/06, Claudio Bustos Bravo <[EMAIL PROTECTED]> wrote: > > El mié, 29-03-2006 a las 19:43 -0400, Miguel Angel Amador L escribió: > > > 801.1x, autenticacion de MAC ADDRESS via EAP contra un servidor > > > Radius ?, > > > > Cuando se involucran las mac address, me preocupo por la posible > > clonacion... > > Por eso se autenticaa ... no solo valida que no te clonen la MAC, si > no tambien autentica la MAC, cosa que cuando conectas el cable de red > y el switch recibe el link, manda una peticion de autenticacion EAP, > que la MAC debe contestar, si no lo hace adecuadamente, puedes enviar > esa puerta a una VLAN de cuarentena,por decir algo, o por ejemplo si > no tienes el antivirus actualizado, podrias mandar a actualizar el > antivirus del equipo en cuestion, antes que se conecte a la red... > (para eso requieres un policy server )(NAC en caso de cisco , NAP en > el de MS$, aun no se si este esta disponible, NAC si). o lo colocas en > una VLAN de Visitas... ahora si esa MAC autentica positivamente, > entonces el switch la deja entrar a la VLAN que le corresponde. 802.1x > evita que el pase los filtros de clonado de MAC, y puedes usar tajetas > inteligentes u otro tipo de autenticacion segura, el problema es que > es demasiado caro tener esta infraestructura. > ok. Me parece interesante. Suena a lo que necesito. Voy a documentarme de esto, gracias por la paciencia. > > > > > los Switchs Cisco Catalyst 2960 lo soportan, si algun > > > intruso conecta su equipo contra un punto de red y este no esta > > > autorizado, el switch no lo dejara ver el resto de la red a menos que > > > la autenticacion sea valida. > > > > Al medio de esta red hay un router 3com 7700 que tiene muchas gracias, > > pero un pc que se conecte en una de las 16 subredes podria accesar > > servicios locales a la esa subred. Quiero ir mas alla e imposibilitar > > que la red funcione si no soy un pc/usuario autorizado. > > Para eso tu Switch deberia poder autenticar bajo 802.1x, si no... :-( > > > > > aparte de eso vienen con algunas extenciones de seguridad contra DHCP > > > Snooping, ARP Spoofing/Poisoning, etc... > > > > > > Basicamente tu switch debe autenticar las MAC ADDRESS que se conecten > > > a el a traves de 802.1x > > > > > Salu2 > -- > Miguel Angel Amador L. > [ jokercl at gmail dot com | User #297569 counter.li.org ] > [ http://www.fotolog.net/kush ] > >
Acceso a la red y certificados
On 3/29/06, Claudio Bustos Bravo <[EMAIL PROTECTED]> wrote: > El mié, 29-03-2006 a las 19:43 -0400, Miguel Angel Amador L escribió: > > 801.1x, autenticacion de MAC ADDRESS via EAP contra un servidor > > Radius ?, > > Cuando se involucran las mac address, me preocupo por la posible > clonacion... Por eso se autenticaa ... no solo valida que no te clonen la MAC, si no tambien autentica la MAC, cosa que cuando conectas el cable de red y el switch recibe el link, manda una peticion de autenticacion EAP, que la MAC debe contestar, si no lo hace adecuadamente, puedes enviar esa puerta a una VLAN de cuarentena,por decir algo, o por ejemplo si no tienes el antivirus actualizado, podrias mandar a actualizar el antivirus del equipo en cuestion, antes que se conecte a la red... (para eso requieres un policy server )(NAC en caso de cisco , NAP en el de MS$, aun no se si este esta disponible, NAC si). o lo colocas en una VLAN de Visitas... ahora si esa MAC autentica positivamente, entonces el switch la deja entrar a la VLAN que le corresponde. 802.1x evita que el pase los filtros de clonado de MAC, y puedes usar tajetas inteligentes u otro tipo de autenticacion segura, el problema es que es demasiado caro tener esta infraestructura. > > > los Switchs Cisco Catalyst 2960 lo soportan, si algun > > intruso conecta su equipo contra un punto de red y este no esta > > autorizado, el switch no lo dejara ver el resto de la red a menos que > > la autenticacion sea valida. > > Al medio de esta red hay un router 3com 7700 que tiene muchas gracias, > pero un pc que se conecte en una de las 16 subredes podria accesar > servicios locales a la esa subred. Quiero ir mas alla e imposibilitar > que la red funcione si no soy un pc/usuario autorizado. Para eso tu Switch deberia poder autenticar bajo 802.1x, si no... :-( > > aparte de eso vienen con algunas extenciones de seguridad contra DHCP > > Snooping, ARP Spoofing/Poisoning, etc... > > > > Basicamente tu switch debe autenticar las MAC ADDRESS que se conecten > > a el a traves de 802.1x > > Salu2 -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ] [ http://www.fotolog.net/kush ]
Acceso a la red y certificados
El mié, 29-03-2006 a las 19:43 -0400, Miguel Angel Amador L escribió: > 801.1x, autenticacion de MAC ADDRESS via EAP contra un servidor > Radius ?, Cuando se involucran las mac address, me preocupo por la posible clonacion... > los Switchs Cisco Catalyst 2960 lo soportan, si algun > intruso conecta su equipo contra un punto de red y este no esta > autorizado, el switch no lo dejara ver el resto de la red a menos que > la autenticacion sea valida. Al medio de esta red hay un router 3com 7700 que tiene muchas gracias, pero un pc que se conecte en una de las 16 subredes podria accesar servicios locales a la esa subred. Quiero ir mas alla e imposibilitar que la red funcione si no soy un pc/usuario autorizado. > aparte de eso vienen con algunas extenciones de seguridad contra DHCP > Snooping, ARP Spoofing/Poisoning, etc... > > Basicamente tu switch debe autenticar las MAC ADDRESS que se conecten > a el a traves de 802.1x > > Saludos > > -- > Miguel Angel Amador L. > [ jokercl at gmail dot com | User #297569 counter.li.org ] > >
Acceso a la red y certificados
El mié, 29-03-2006 a las 19:00 -0400, Cristian Rodriguez escribió: > On 3/29/06, Claudio Bustos Bravo <[EMAIL PROTECTED]> wrote: > > Saludos cordiales. > > > Necesito crear un mecanismo que impida que usuarios/maquinas no > > autorizadas obtengan servicios de red, esto es, que solo las maquinas de > > la planta puedan acceder a todos los servicios (internet, intranet, > > etc.) y si alguien externo (digamos una visita) con un pc o notebook /no > > registrado/ se conecte a un punto de red (fisico) no pueda hacer nada! > > (ni siquiera un misero ping) aunque logre una ip /desocupada/ probando > > manualmente. > > > > Los PCs son todos win (xp y 2k) y el PDC es samba. > > que usas para asignar direcciones IP internas ? es estatico ? DHCP ? > 1 DHCP en 16 subredes (zonas) > hay varios mecanismos, pero unos son mas efectivos que otros. > > 1. un control basdo en MAC Adress ( impractico si son muchos clientes, > ademas de la alta probabiliadad que alguien pueda cambiar su propia > MAC facilmente ;-) ) Completamente de acuerdo. > > 2. Solictar autentificacion a todo servicio, que sea necesario ( > tambien puede resultar poco practico) > Lo estoy evitando. > 3. Utilizar algo como OpenVPN. > Se puede hacer una vpn en un ambiente que no sea punto a punto? > 4. LART ( este puede ser muy efectivo en ciertos casos) ;-) > > oops!, este no lo he escuchado... voy a cachurearlo...
Acceso a la red y certificados
El mié, 29-03-2006 a las 18:12 -0400, Fredy Rojas escribió: > Claudio Bustos Bravo escribió: > > Saludos cordiales. > > > > Para variar, tengo una duda y pido a los miembros de la lista ayuda y > > comprension. > > > > Necesito crear un mecanismo que impida que usuarios/maquinas no > > autorizadas obtengan servicios de red, esto es, que solo las maquinas de > > la planta puedan acceder a todos los servicios (internet, intranet, > > etc.) y si alguien externo (digamos una visita) con un pc o notebook /no > > registrado/ se conecte a un punto de red (fisico) no pueda hacer nada! > > (ni siquiera un misero ping) aunque logre una ip /desocupada/ probando > > manualmente. > > > eso se puede definir en el router y/o access point que estes usando.. > > no lo veo tan complejo.. creo que bastaria con gregar las mac al router > ... > hasta los mas sencillos de hoy en dia son capaces de hacer eso. > Lo veo poco viable porque las macs con clonables y porque es un parque de 800 pcs... > > Los PCs son todos win (xp y 2k) y el PDC es samba. > > > > He leido de IPSec y certificados y todavia no estoy seguro si es por ese > > camino. Para no seguir dando /palos de ciego/, alguien ha visto/echo > > esto con IPSec y certificados de seguridad? Hay otras alternativas? > > > > IPV6 me ayudaria? > > > > Disculpen tanta pregunta de una vez... y desde ya muchas gracias. > > > > > creo que la solucion es mas simple... o necesitas algo adicional? La complejidad va por el lado del volumen de integrantes en la red. La solucion debe ser lo mas transparente posible. > > > > Claudio Bustos Bravo > > > > > > > > > > > > > > > > >
Acceso a la red y certificados
801.1x, autenticacion de MAC ADDRESS via EAP contra un servidor Radius ?, los Switchs Cisco Catalyst 2960 lo soportan, si algun intruso conecta su equipo contra un punto de red y este no esta autorizado, el switch no lo dejara ver el resto de la red a menos que la autenticacion sea valida. aparte de eso vienen con algunas extenciones de seguridad contra DHCP Snooping, ARP Spoofing/Poisoning, etc... Basicamente tu switch debe autenticar las MAC ADDRESS que se conecten a el a traves de 802.1x Saludos -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ]
Acceso a la red y certificados
TAKE, PLEASE LET US KNOW BY E-MAIL > IMMEDIATELY AND DELETE THE MESSAGE AND ITS EXHIBITS FROM THE SYSTEM; YOU > SHOULD ALSO NOR COPY THE MESSAGE OR ITS EXHIBITS NOR DISCLOSE ITS CONTENTS > TO ANYONE. THANK YOU. > -- Orlando Sojo. User Linux Registered 344807. próxima parte Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20060329/65782cf7/attachment.html From [EMAIL PROTECTED] Wed Mar 29 19:00:40 2006 From: [EMAIL PROTECTED] (Cristian Rodriguez) Date: Wed Mar 29 19:25:51 2006 Subject: Acceso a la red y certificados In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 3/29/06, Claudio Bustos Bravo <[EMAIL PROTECTED]> wrote: > Saludos cordiales. > Necesito crear un mecanismo que impida que usuarios/maquinas no > autorizadas obtengan servicios de red, esto es, que solo las maquinas de > la planta puedan acceder a todos los servicios (internet, intranet, > etc.) y si alguien externo (digamos una visita) con un pc o notebook /no > registrado/ se conecte a un punto de red (fisico) no pueda hacer nada! > (ni siquiera un misero ping) aunque logre una ip /desocupada/ probando > manualmente. > > Los PCs son todos win (xp y 2k) y el PDC es samba. que usas para asignar direcciones IP internas ? es estatico ? DHCP ? hay varios mecanismos, pero unos son mas efectivos que otros. 1. un control basdo en MAC Adress ( impractico si son muchos clientes, ademas de la alta probabiliadad que alguien pueda cambiar su propia MAC facilmente ;-) ) 2. Solictar autentificacion a todo servicio, que sea necesario ( tambien puede resultar poco practico) 3. Utilizar algo como OpenVPN. 4. LART ( este puede ser muy efectivo en ciertos casos) ;-)
Acceso a la red y certificados
Saludos cordiales. Para variar, tengo una duda y pido a los miembros de la lista ayuda y comprension. Necesito crear un mecanismo que impida que usuarios/maquinas no autorizadas obtengan servicios de red, esto es, que solo las maquinas de la planta puedan acceder a todos los servicios (internet, intranet, etc.) y si alguien externo (digamos una visita) con un pc o notebook /no registrado/ se conecte a un punto de red (fisico) no pueda hacer nada! (ni siquiera un misero ping) aunque logre una ip /desocupada/ probando manualmente. Los PCs son todos win (xp y 2k) y el PDC es samba. He leido de IPSec y certificados y todavia no estoy seguro si es por ese camino. Para no seguir dando /palos de ciego/, alguien ha visto/echo esto con IPSec y certificados de seguridad? Hay otras alternativas? IPV6 me ayudaria? Disculpen tanta pregunta de una vez... y desde ya muchas gracias. Claudio Bustos Bravo