Opa, queria conversar com alguém que já usa 802.1x, estou pensando em implementar este recurso em uma instituição que possui várias redes distintas, hoje utilizo VLAN's e tem funcionado bem. Estou próximo da aquisição de novos switch's (os atuais já suportam 802.1x mas ainda não mexi neles), por isso gostaria de saber mais sobre 802.1x na prática, ouvindo alguém que já utiliza isso. Com o 802.1x o overhead na rede é pequeno? o usuário percebe algo como lentidão ou coisa do tipo ao ligar o pc? Ontem fui a uma palestra que falava sobre windows 2008 e o palestrante falou sobre NAP e disse que esta solução não depende do switch, fiquei meio sem entender, mas acho que ele deve usar algum recurso do servidor de domínio, mas se for acho meio furado isso... Você já ouviu falar algo sobre NAP?
OBS: Desculpem o off-topic, se preferir responda em pvt. Obrigado. t+ 2008/10/20 fvbrasileiro <[EMAIL PROTECTED]>: > > Opa, > > Pelo que entendi ele o Marcelo tem uma rede grande onde precisa > controlar quais dispositivos pode ou não se plugar na rede local. > > Com os recursos disponíveis hoje em dia, qualquer controle a nível > lógico pode ser facilmente burlado, basta clonar um mac, alterar o ip, > digitar um user/senha. > > Todavia há formas de se minimizar esse tipo de ação, seguem algumas: > > 1. Controle por MAC pode ser implementado no switch. Associando um MAC > a porta específica, muitos switchs tem o recurso de bloquear a porta > caso o MAC mude, ou seja, o "invasor" tem apenas uma chance de acertar > o MAC. > > 2. Como sua rede é grande, você pode ativar o controle de MAC de forma > dinamica, ou seja, o swith vai aprendendo os MAC, o primeiro mac q > passar pela porta é o que vai ficar valendo, qq um diferente bloqueia > a porta. > > 3. 802.1x puro, os dispositivos só são liberado quando o cliente fizar > a sua autenticação. > > 4. 802.1x + VLAN, todas as portas dos switchs ficam liberadas e > acessando uma VLAN default, VLAN está que não tem acesso a "nada", mas > quando o cliente se autentica na rede, ele passa automaticamente a > pertencer a uma outra VLAN com os respectivos direitos e acessos. > > 5. Fora isso uma outra forma que vejo de evitar dispisitivos wll é > utilizando um bloqueador de rádio, tipo aqueles bloqueadores de > celular. > > 6. Bloquear todas as portas não utilizadas nos switchs. > > Trabalho em um banco, e posso dizer que tinhamos muito problemas, com > o gerenciamento dos dispositivos, pois imaginem vocês controlar > diversas redes separadas (cada agencia tem sua própria rede), cada > gerente quer usar seu notebook, tem os gerentes que podem ficar > andando entre as agências, tem funcionário que quer plugar seu > PDA/Pocket/Notebook na rede. Uma série de situações.... sem contar > naquelas em quem há realmente a má fé, na tentativa de burlar as > regras e se obter vantagem ilícita. > > Depois que adotamos o 802.1x + controle de MAC + VLAN, reduzimos > bastante os incidentes de segurança, relativos a utilização de > dispositivos não autorizados. > > Apenas pra constar: algumas pessoas nos perguntam se: "amarrar o MAC a > porta do swtich não é uma solução onde a rede fica "amarrada" e o > admin vai ter muito mais trabalho?". A resposta é sim! Mas vale > lembrar que segurança está num vértice oposto a praticidade. > > Saudações a todos. > > Francisco Brasileiro (Kico) > > 2008/10/17 Adenir Rodrigues Filho <[EMAIL PROTECTED]>: >> >> Gostei muito da matéria, mas acho que não é isso que nosso amigo quer. >> Pelo que entendi, o problema esta ralacionado aos AP´s que não fazem parte >> da rede. >> Francisco vc disse que: >>> Tem soluções por MAC ou DHCP, mas ambas são bem fáceis de burlar. >> >> Que soluções são essas? > > -- > ______________________________________________________________________ > Francisco Vasconcelos Brasileiro [EMAIL PROTECTED] > Diretor Técnico > Acesso.NET > UIN: 6826562 Linux User: #101368 > > > > -- "Muitos homens perdem a saúde para ganhar dinheiro, depois perdem o dinheiro para ganhar a saúde. - Confúcio" Paulo Henrique Fonseca [EMAIL PROTECTED] --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
