Opa, Pelo que entendi ele o Marcelo tem uma rede grande onde precisa controlar quais dispositivos pode ou não se plugar na rede local.
Com os recursos disponíveis hoje em dia, qualquer controle a nível lógico pode ser facilmente burlado, basta clonar um mac, alterar o ip, digitar um user/senha. Todavia há formas de se minimizar esse tipo de ação, seguem algumas: 1. Controle por MAC pode ser implementado no switch. Associando um MAC a porta específica, muitos switchs tem o recurso de bloquear a porta caso o MAC mude, ou seja, o "invasor" tem apenas uma chance de acertar o MAC. 2. Como sua rede é grande, você pode ativar o controle de MAC de forma dinamica, ou seja, o swith vai aprendendo os MAC, o primeiro mac q passar pela porta é o que vai ficar valendo, qq um diferente bloqueia a porta. 3. 802.1x puro, os dispositivos só são liberado quando o cliente fizar a sua autenticação. 4. 802.1x + VLAN, todas as portas dos switchs ficam liberadas e acessando uma VLAN default, VLAN está que não tem acesso a "nada", mas quando o cliente se autentica na rede, ele passa automaticamente a pertencer a uma outra VLAN com os respectivos direitos e acessos. 5. Fora isso uma outra forma que vejo de evitar dispisitivos wll é utilizando um bloqueador de rádio, tipo aqueles bloqueadores de celular. 6. Bloquear todas as portas não utilizadas nos switchs. Trabalho em um banco, e posso dizer que tinhamos muito problemas, com o gerenciamento dos dispositivos, pois imaginem vocês controlar diversas redes separadas (cada agencia tem sua própria rede), cada gerente quer usar seu notebook, tem os gerentes que podem ficar andando entre as agências, tem funcionário que quer plugar seu PDA/Pocket/Notebook na rede. Uma série de situações.... sem contar naquelas em quem há realmente a má fé, na tentativa de burlar as regras e se obter vantagem ilícita. Depois que adotamos o 802.1x + controle de MAC + VLAN, reduzimos bastante os incidentes de segurança, relativos a utilização de dispositivos não autorizados. Apenas pra constar: algumas pessoas nos perguntam se: "amarrar o MAC a porta do swtich não é uma solução onde a rede fica "amarrada" e o admin vai ter muito mais trabalho?". A resposta é sim! Mas vale lembrar que segurança está num vértice oposto a praticidade. Saudações a todos. Francisco Brasileiro (Kico) 2008/10/17 Adenir Rodrigues Filho <[EMAIL PROTECTED]>: > > Gostei muito da matéria, mas acho que não é isso que nosso amigo quer. > Pelo que entendi, o problema esta ralacionado aos AP´s que não fazem parte > da rede. > Francisco vc disse que: >> Tem soluções por MAC ou DHCP, mas ambas são bem fáceis de burlar. > > Que soluções são essas? -- ______________________________________________________________________ Francisco Vasconcelos Brasileiro [EMAIL PROTECTED] Diretor Técnico Acesso.NET UIN: 6826562 Linux User: #101368 --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
