As máquinas são Windows ou Linux, nas workstations? Coloca 802.1x com CA Certificado Digital, voce mesmo gera no server...antes que autenticar, sem a chave não rola e duas chaves iguais kill na segunda maquina
Em 24 de dezembro de 2011 00:26, Roberval Sena <[email protected]>escreveu: > Marcos, célio, > > Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra controlar > usuários, pois nem todos tem a "manha" de trocar o MAC de seus micros .. > ainda mais pelo MAC justamente daquela máquina que tem acessos > privilegiados.. > > ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só > colcoar regras pra toda a sua faixa de rede. > > Mas enfins, devez em quando aparece um "artista" que consegue (não sei se > por acaso) driblar regras.. rsrs > aí.. eu que sou o gerente da rede, monitoro! > E pego o infrator... faço relatório e mando pra diretoria... > > Como eu monitoro? > Tem várias ferramentas, e muita gente vai dar ótimas sugestões. > Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai gravando > no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele cliente, o > IP e MAC que ele está usando no momento. > > Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe desse > "LOG" que montei em todas as estações... ele roda bem quietinho... > > Logo, é só deixar por um tempo... depois é só procurar discrepâncias! > > > []s Sena > > > > > Em 24 de dezembro de 2011 00:06, Celio Silva > <[email protected]>escreveu: > > > Usuário é 1 bixo complicado... > > > > Eu não quero apelar para 1 Active Directory/GPO... então, vamos > esperar > > uma luz... > > > > Célio > > > > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu: > > > > É isso que quero... > >> > >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para > >> prejudicar ou para se favorecer... > >> > >> Essa semana esse cara colocou o mesmo IP do servidor... parou a rede. > >> > >> Entende? > >> > >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y, mesmo > >> que ele troque de IP ou MAC não vai adiantar... > >> > >> É disto que estou atrás... > >> > >> > >> Em 23 de dezembro de 2011 18:33, Celio Silva > >> <[email protected]>**escreveu: > >> > >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade... > >>> > >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados > >>> (Diretoria: notebooks, celulares, etc...) > >>> > >>> A idéia é criar algumas regras _antes do firewall e independenteo do > >>> DHCP_, que faça o seguinte: > >>> > >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso > contrário > >>> "drop" qualquer comunicação c/ Servidor... > >>> > >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac... tanto > os > >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede... > >>> > >>> Quando qq usuário "engraçadinho" roubar o IP de outro equipamento... > ele > >>> nem conversará c/ o servidor... / podendo o servidor até > >>> "denunciar" > >>> que houve essa tentativa com data, hora e equipamento... > >>> > >>> Célio > >>> > >>> Em 23/12/2011 16:48, Roberval Sena escreveu: > >>> > >>> Salve marcos, > >>> > >>>> Deixa eu fazer uma pergunta básica, > >>>> Você disse que pelo iptables, amarrou um IP com um MAC, > >>>> digamos um exemplo: 192.168.1.10 com MAC ca:ca:ca:ca:ca:ca > >>>> > >>>> E que se esse cliente troca de ip.. ele continua navegando! certo? > mas > >>>> é > >>>> claro, não deveria! > >>>> > >>>> Bom... > >>>> Se as suas regras estiverem certas eu acho que deveria funcionar, pois > >>>> comigo aqui via bem > >>>> > >>>> BOM 2... > >>>> Minha pergunta é .. > >>>> Suponha que essa estação trocou o IP para 192.168.1.11.... > >>>> > >>>> AGORA, > >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)? > >>>> pq.. se não tiver regra ele(firewall) deixa passar.... > >>>> > >>>> desculpe se a pergunta é boba.. só queria entender pra tentar > ajudar... > >>>> > >>>> []s Sena > >>>> > >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma<[email protected] > >** > >>>> ** > >>>> escreveu: > >>>> > >>>> Olá, Marcos. > >>>> > >>>>> Bem, então neste caso não tem como impedir que os usuários troquem o > IP > >>>>> das > >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs que > >>>>> podem > >>>>> passar pelo firewall (e quais protocolos eles podem passar) e > bloquear > >>>>> todo > >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar o > IP > >>>>> de > >>>>> outra máquina que está liberada. > >>>>> > >>>>> Um abraço. > >>>>> > >>>>> -- > >>>>> *Marta Vuelma* > >>>>> Senior Level Linux Professional (LPIC-3 Core) > >>>>> Novell Certified Linux Administrator (NCLA) > >>>>> martavuelma.wordpress.com > >>>>> @MartaVuelma > >>>>> > >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]< > [email protected] > >>>>> > >>>>> escreveu: > >>>>>> Não trabalhamos com DHCP. > >>>>>> > >>>>>> É atribuição manual. > >>>>>> > >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma< > [email protected] > >>>>>> > >>>>>> escreveu: > >>>>>>> Olá, Marcos. > >>>>>>> > >>>>>>> Para garantir que um determinado computador na rede receba sempre o > >>>>>>> > >>>>>>> mesmo > >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP. > Uma > >>>>>> vez > >>>>>> feito isto, poderás, então configurar no firewall os privilégios > para > >>>>>> os > >>>>>> respectivos IPs. > >>>>>> > >>>>>>> Lembrando que este tipo de controle que você está implementando, > >>>>>>> > >>>>>>> dependendo > >>>>>> > >>>>>> do número de hosts da sua rede pode ficar bem difícil de gerenciar. > >>>>>>> > >>>>>>> Um exemplo de reserva no dhcpd.conf é: > >>>>>>> > >>>>>>> host nome_da_maquina { > >>>>>>> hardware ethernet 12:34:56:78:AB:CD; > >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina > >>>>>>> } > >>>>>>> > >>>>>>> Espero ter ajudado. > >>>>>>> Um abraço > >>>>>>> > >>>>>>> -- > >>>>>>> *Marta Vuelma* > >>>>>>> Senior Level Linux Professional (LPIC-3 Core) > >>>>>>> Novell Certified Linux Administrator (NCLA) > >>>>>>> martavuelma.wordpress.com > >>>>>>> @MartaVuelma > >>>>>>> > >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]< > >>>>>>> [email protected] > >>>>>>> > >>>>>>> escreveu: > >>>>>>>> Ubunteiros, > >>>>>>>> > >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso. > >>>>>>>> > >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que estão > >>>>>>>> chegando... > >>>>>>>> > >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando > >>>>>>>> > >>>>>>>> trocar > >>>>>>> os > >>>>>>> > >>>>>>> IPs aleatoriamente > >>>>>>>> > >>>>>>>> para fugir das regras do firewall, já que alguns ips tem > privilégio > >>>>>>>> > >>>>>>>> na > >>>>>>> > >>>>>> rede. > >>>>>> > >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas não > >>>>>>>> > >>>>>>>> obtive > >>>>>>> > >>>>>>> sucesso... > >>>>>>>> > >>>>>>>> > >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me > >>>>>>>> mandar > >>>>>>>> > >>>>>>>> um > >>>>>>> passo-a-passo de como > >>>>>>> > >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em > questão > >>>>>>>> > >>>>>>>> que > >>>>>>> recebeu o IP(1), se trocar o seu IP > >>>>>>> > >>>>>>>> para outro, ele deixe de navegar.... > >>>>>>>> > >>>>>>>> Exemplo: > >>>>>>>> > >>>>>>>> Maquina1: > >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício) > >>>>>>>> > >>>>>>>> Então no Firewall estaria cadastrado assim... > >>>>>>>> > >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique > >>>>>>>> > >>>>>>>> bloqueada e > >>>>>>> > >>>>>>> perca a conexão... > >>>>>>>> > >>>>>>>> Como fazer? > >>>>>>>> > >>>>>>>> Marcos > >>>>>>>> > >>>>>>>> -- > >>>>>>>> ------------------------------****- > >>>>>>>> Marcos Túlio G S JR > >>>>>>>> Setor de TI/SENAC/PB > >>>>>>>> > >>>>>>> > > -- > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece< > http://www.ubuntu-br.org/comece> > > > > Lista de discussão Ubuntu Brasil > > Histórico, descadastramento e outras opções: > > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br< > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br> > > > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
