Para evitar que um server aceite e valide um MAC FAKE, voce pode usar o
ARPON e configurá-lo para detectar e negar na rede.
@firebitsbr
Em 23 de dezembro de 2011 20:57, Renato Costallat
<renato.rena...@gmail.com>escreveu:
> Bloquear ou amarrar ip/mac não vai impedir nada, uma vez que é simples
> mudar o mac de uma placa de rede, o que vc estaria fazendo é somente
> dificultando o acesso!
>
> Na minha empresa ao se conectar algum mac diferente ele trava o ponto de
> rede, mas creio que isso precise de equipamentos "sofisticados" que
> consigam realizar tal coisa!
>
> Poderia instalar algum proxy com identificação, seria uma solução!
>
>
> 2011/12/23 Roberval Sena <roberval.s...@gmail.com>
>
> > bom não sei se entendio a resposta....
> > ou não sei se fiz direito a pergunta rsrsr
> >
> > Mas é bom sempre entender o fundamento da "coisa"
> >
> > exemplo: o IP 192.168.1.10 está com MAC CA:CA:CA:CA:CA:CA perfeito até
> > aqui.
> >
> > mas todos os demais IP estão sem MAC, ou sem cadastrado no
> > iptables...!!!!!!!!!!!!
> > logo ele trocou o IP vai Navegar!!!
> >
> >
> > MAS,
> > se você cadastrar TODOS os IPs, com MACs, não adianta NENHUM cliente
> trocar
> > mais o IP....
> >
> > por exemplo..
> > seguindo o modelo acima coloque 00:00:00:00:00:00 que é um MAC
> "inválido"
> > para os IPs sem uso entende?
> >
> >
> > ficaria assim
> > 192.168.1.10 está com MAC CA:CA:CA:CA:CA:CA que é válido e está OK.
> >
> > já para TODOS os demais IPs coloque algo "nulo"
> > 192.168.1.11 amarrado no MAC 00:00:00:00:00:00
> > 192.168.1.12 amarrado no MAC 00:00:00:00:00:00
> > 192.168.1.13 amarrado no MAC 00:00:00:00:00:00
> > 192.168.1.14 amarrado no MAC 00:00:00:00:00:00
> > 192.168.1.15 amarrado no MAC 00:00:00:00:00:00
> > 192.168.1.16 amarrado no MAC 00:00:00:00:00:00
> > 192.168.1.17 amarrado no MAC 00:00:00:00:00:00..........
> >
> >
> > será que consegui me expressar? :O
> >
> > []s
> >
> >
> >
> >
> >
> >
> > Em 23 de dezembro de 2011 19:33, Celio Silva
> > <celiosidneisi...@gmail.com>escreveu:
> >
> > > Estou de olho aqui, pq tenho a mesma dúvida/necessidade...
> > >
> > > Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados
> > > (Diretoria: notebooks, celulares, etc...)
> > >
> > > A idéia é criar algumas regras _antes do firewall e independenteo do
> > > DHCP_, que faça o seguinte:
> > >
> > > A máquina é o mac "x"? e o IP é "x" tb, então continua... caso
> contrário
> > > "drop" qualquer comunicação c/ Servidor...
> > >
> > > Nessa caso, teríamos que amarrar cada equipamento a 1 mac... tanto
> os
> > > atuais, qto. qualquer outro "novo" mac q aparecer na rede...
> > >
> > > Quando qq usuário "engraçadinho" roubar o IP de outro equipamento...
> ele
> > > nem conversará c/ o servidor... / podendo o servidor até
> > "denunciar"
> > > que houve essa tentativa com data, hora e equipamento...
> > >
> > > Célio
> > >
> > > Em 23/12/2011 16:48, Roberval Sena escreveu:
> > >
> > > Salve marcos,
> > >>
> > >> Deixa eu fazer uma pergunta básica,
> > >> Você disse que pelo iptables, amarrou um IP com um MAC,
> > >> digamos um exemplo: 192.168.1.10 com MAC ca:ca:ca:ca:ca:ca
> > >>
> > >> E que se esse cliente troca de ip.. ele continua navegando! certo?
> mas
> > é
> > >> claro, não deveria!
> > >>
> > >> Bom...
> > >> Se as suas regras estiverem certas eu acho que deveria funcionar, pois
> > >> comigo aqui via bem
> > >>
> > >> BOM 2...
> > >> Minha pergunta é ..
> > >> Suponha que essa estação trocou o IP para 192.168.1.11....
> > >>
> > >> AGORA,
> > >> no seu iptables.. como está a regra para esse IP (192.168.1.11)?
> > >> pq.. se não tiver regra ele(firewall) deixa passar....
> > >>
> > >> desculpe se a pergunta é boba.. só queria entender pra tentar
> ajudar...
> > >>
> > >> []s Sena
> > >>
> > >> Em 23 de dezembro de 2011 16:25, Marta Vuelma<marta.vue...@gmail.com
> >**
> > >> escreveu:
> > >>
> > >> Olá, Marcos.
> > >>>
> > >>> Bem, então neste caso não tem como impedir que os usuários troquem o
> IP
> > >>> das
> > >>> suas máquinas. O máximo que podes fazer é liberar somente os IPs que
> > >>> podem
> > >>> passar pelo firewall (e quais protocolos eles podem passar) e
> bloquear
> > >>> todo
> > >>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar o
> IP
> > >>> de
> > >>> outra máquina que está liberada.
> > >>>
> > >>> Um abraço.
> > >>>
> > >>> --
> > >>> *Marta Vuelma*
> > >>> Senior Level Linux Professional (LPIC-3 Core)
> > >>> Novell Certified Linux Administrator (NCLA)
> > >>> martavuelma.wordpress.com
> > >>> @MartaVuelma
> > >>>
> > >>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]<
> mar...@pb.senac.br
> > >>>
> > >>>> escreveu:
> > >>>> Não trabalhamos com DHCP.
> > >>>>
> > >>>> É atribuição manual.
> > >>>>
> > >>>>
> > >>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma<
> marta.vue...@gmail.com
> > >>>>
> > >>>>> escreveu:
> > >>>>> Olá, Marcos.
> > >>>>>
> > >>>>> Para garantir que um determinado computador na rede receba sempre o
> > >>>>>
> > >>>> mesmo
> > >>>
> > >>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP.
> Uma
> > >>>>>
> > >>>> vez
> > >>>
> > >>>> feito isto, poderás, então configurar no firewall os privilégios
> para
> > >>>>>
> > >>>> os
> > >>>
> > >>>> respectivos IPs.
> > >>>>> Lembrando que este tipo de controle que você está implementando,
> > >>>>>
> > >>>> dependendo
> > >>>>
> > >>>>> do número de hosts da sua rede pode ficar bem difícil de gerenciar.
> > >>>>>
> > >>>>> Um exemplo de reserva no dhcpd.conf é:
> > >>>>>
> > >>>>> host nome_da_maquina {
> > >>>>> hardware ethernet 12:34:56:78:AB:CD;
> > >>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina
> > >>>>> }
> > >>>>>
> > >>>>> Espero ter ajudado.
> > >>>>> Um abraço
> > >>>>>
> > >>>>> --
> > >>>>> *Marta Vuelma*
> > >>>>> Senior Level Linux Professional (LPIC-3 Core)
> > >>>>> Novell Certified Linux Administrator (NCLA)
> > >>>>> martavuelma.wordpress.com
> > >>>>> @MartaVuelma
> > >>>>>
> > >>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]<
> > mar...@pb.senac.br
> > >>>>>
> > >>>>>> escreveu:
> > >>>>>> Ubunteiros,
> > >>>>>>
> > >>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso.
> > >>>>>>
> > >>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que estão
> > >>>>>> chegando...
> > >>>>>>
> > >>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando
> > >>>>>>
> > >>>>> trocar
> > >>>>
> > >>>>> os
> > >>>>>
> > >>>>>> IPs aleatoriamente
> > >>>>>>
> > >>>>>> para fugir das regras do firewall, já que alguns ips tem
> privilégio
> > >>>>>>
> > >>>>> na
> > >>>
> > >>>> rede.
> > >>>>>>
> > >>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas
> não
> > >>>>>>
> > >>>>> obtive
> > >>>>>
> > >>>>>> sucesso...
> > >>>>>>
> > >>>>>>
> > >>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me
> > mandar
> > >>>>>>
> > >>>>> um
> > >>>>
> > >>>>> passo-a-passo de como
> > >>>>>>
> > >>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em
> questão
> > >>>>>>
> > >>>>> que
> > >>>>
> > >>>>> recebeu o IP(1), se trocar o seu IP
> > >>>>>>
> > >>>>>> para outro, ele deixe de navegar....
> > >>>>>>
> > >>>>>> Exemplo:
> > >>>>>>
> > >>>>>> Maquina1:
> > >>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício)
> > >>>>>>
> > >>>>>> Então no Firewall estaria cadastrado assim...
> > >>>>>>
> > >>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique
> > >>>>>>
> > >>>>> bloqueada e
> > >>>>>
> > >>>>>> perca a conexão...
> > >>>>>>
> > >>>>>> Como fazer?
> > >>>>>>
> > >>>>>> Marcos
> > >>>>>>
> > >>>>>> --
> > >>>>>> ------------------------------**-
> > >>>>>> Marcos Túlio G S JR
> > >>>>>> Setor de TI/SENAC/PB
> > >>>>>> --
> > >>>>>> Mais sobre o Ubuntu em português:
> http://www.ubuntu-br.org/**comece
> > <http://www.ubuntu-br.org/comece>
> > >>>>>>
> > >>>>> --
> > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece<
> > http://www.ubuntu-br.org/comece>
> > >
> > > Lista de discussão Ubuntu Brasil
> > > Histórico, descadastramento e outras opções:
> > > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br<
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br>
> > >
> > --
> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >
> > Lista de discussão Ubuntu Brasil
> > Histórico, descadastramento e outras opções:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
