já houvi e já utilizei pra mim: não presta pra nada. Cliente gritou no meu ouvido quando o adm da rede dele instalou essas Politicas de Seguranca do windows 2008 sem licença.
http://www.windowsnetworking.com/articles_tutorials/Understanding-new-Windows-Server-2008-Network-Policy-Server.html 2008/10/22 Paulo Henrique <[EMAIL PROTECTED]> > > Opa, queria conversar com alguém que já usa 802.1x, estou pensando em > implementar este recurso em uma instituição que possui várias redes > distintas, hoje utilizo VLAN's e tem funcionado bem. Estou próximo da > aquisição de novos switch's (os atuais já suportam 802.1x mas ainda > não mexi neles), por isso gostaria de saber mais sobre 802.1x na > prática, ouvindo alguém que já utiliza isso. > Com o 802.1x o overhead na rede é pequeno? o usuário percebe algo como > lentidão ou coisa do tipo ao ligar o pc? > Ontem fui a uma palestra que falava sobre windows 2008 e o palestrante > falou sobre NAP e disse que esta solução não depende do switch, fiquei > meio sem entender, mas acho que ele deve usar algum recurso do > servidor de domínio, mas se for acho meio furado isso... > Você já ouviu falar algo sobre NAP? > > OBS: Desculpem o off-topic, se preferir responda em pvt. > > Obrigado. > > t+ > > 2008/10/20 fvbrasileiro <[EMAIL PROTECTED]>: > > > > Opa, > > > > Pelo que entendi ele o Marcelo tem uma rede grande onde precisa > > controlar quais dispositivos pode ou não se plugar na rede local. > > > > Com os recursos disponíveis hoje em dia, qualquer controle a nível > > lógico pode ser facilmente burlado, basta clonar um mac, alterar o ip, > > digitar um user/senha. > > > > Todavia há formas de se minimizar esse tipo de ação, seguem algumas: > > > > 1. Controle por MAC pode ser implementado no switch. Associando um MAC > > a porta específica, muitos switchs tem o recurso de bloquear a porta > > caso o MAC mude, ou seja, o "invasor" tem apenas uma chance de acertar > > o MAC. > > > > 2. Como sua rede é grande, você pode ativar o controle de MAC de forma > > dinamica, ou seja, o swith vai aprendendo os MAC, o primeiro mac q > > passar pela porta é o que vai ficar valendo, qq um diferente bloqueia > > a porta. > > > > 3. 802.1x puro, os dispositivos só são liberado quando o cliente fizar > > a sua autenticação. > > > > 4. 802.1x + VLAN, todas as portas dos switchs ficam liberadas e > > acessando uma VLAN default, VLAN está que não tem acesso a "nada", mas > > quando o cliente se autentica na rede, ele passa automaticamente a > > pertencer a uma outra VLAN com os respectivos direitos e acessos. > > > > 5. Fora isso uma outra forma que vejo de evitar dispisitivos wll é > > utilizando um bloqueador de rádio, tipo aqueles bloqueadores de > > celular. > > > > 6. Bloquear todas as portas não utilizadas nos switchs. > > > > Trabalho em um banco, e posso dizer que tinhamos muito problemas, com > > o gerenciamento dos dispositivos, pois imaginem vocês controlar > > diversas redes separadas (cada agencia tem sua própria rede), cada > > gerente quer usar seu notebook, tem os gerentes que podem ficar > > andando entre as agências, tem funcionário que quer plugar seu > > PDA/Pocket/Notebook na rede. Uma série de situações.... sem contar > > naquelas em quem há realmente a má fé, na tentativa de burlar as > > regras e se obter vantagem ilícita. > > > > Depois que adotamos o 802.1x + controle de MAC + VLAN, reduzimos > > bastante os incidentes de segurança, relativos a utilização de > > dispositivos não autorizados. > > > > Apenas pra constar: algumas pessoas nos perguntam se: "amarrar o MAC a > > porta do swtich não é uma solução onde a rede fica "amarrada" e o > > admin vai ter muito mais trabalho?". A resposta é sim! Mas vale > > lembrar que segurança está num vértice oposto a praticidade. > > > > Saudações a todos. > > > > Francisco Brasileiro (Kico) > > > > 2008/10/17 Adenir Rodrigues Filho <[EMAIL PROTECTED]>: > >> > >> Gostei muito da matéria, mas acho que não é isso que nosso amigo quer. > >> Pelo que entendi, o problema esta ralacionado aos AP´s que não fazem > parte > >> da rede. > >> Francisco vc disse que: > >>> Tem soluções por MAC ou DHCP, mas ambas são bem fáceis de burlar. > >> > >> Que soluções são essas? > > > > -- > > ______________________________________________________________________ > > Francisco Vasconcelos Brasileiro [EMAIL PROTECTED] > > Diretor Técnico > > Acesso.NET > > UIN: 6826562 Linux User: > #101368 > > > > > > > > > > > -- > "Muitos homens perdem a saúde para ganhar dinheiro, depois perdem o > dinheiro para ganhar a saúde. - Confúcio" > > Paulo Henrique Fonseca > [EMAIL PROTECTED] > > > > -- kram3r --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
