libera pelo mac ao inves do ip.... usuário AINDA não sabe trocar o mac :) --
Marlon Valério ┌─────────────────┐ Problems, lots of Problems └─────────────────┘ Em 24 de dezembro de 2011 00:45, Mauro Risonho de Paula Assumpção < [email protected]> escreveu: > Se alguem tiver a mesma chave CA quer dizer: > > - Um usuário emprestou a chave CA para outro. > - O outro usuário de algo forma copiou o CA. > > Nesse caso, cancela os dois CAs, ai o usuário vai lá para reclamar que o > workstation não está autenticando e voce adverte os dois e gera outro CA,. > > > Em 24 de dezembro de 2011 00:38, Mauro Risonho de Paula Assumpção < > [email protected]> escreveu: > > > As máquinas são Windows ou Linux, nas workstations? > > > > Coloca 802.1x com CA Certificado Digital, voce mesmo gera no > > server...antes que autenticar, sem a chave não rola e duas chaves iguais > > kill na segunda maquina > > > > Em 24 de dezembro de 2011 00:26, Roberval Sena <[email protected] > >escreveu: > > > > Marcos, célio, > >> > >> Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra controlar > >> usuários, pois nem todos tem a "manha" de trocar o MAC de seus micros > .. > >> ainda mais pelo MAC justamente daquela máquina que tem acessos > >> privilegiados.. > >> > >> ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só > >> colcoar regras pra toda a sua faixa de rede. > >> > >> Mas enfins, devez em quando aparece um "artista" que consegue (não sei > se > >> por acaso) driblar regras.. rsrs > >> aí.. eu que sou o gerente da rede, monitoro! > >> E pego o infrator... faço relatório e mando pra diretoria... > >> > >> Como eu monitoro? > >> Tem várias ferramentas, e muita gente vai dar ótimas sugestões. > >> Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai > gravando > >> no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele > cliente, > >> o > >> IP e MAC que ele está usando no momento. > >> > >> Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe > desse > >> "LOG" que montei em todas as estações... ele roda bem quietinho... > >> > >> Logo, é só deixar por um tempo... depois é só procurar discrepâncias! > >> > >> > >> []s Sena > >> > >> > >> > >> > >> Em 24 de dezembro de 2011 00:06, Celio Silva > >> <[email protected]>escreveu: > >> > >> > Usuário é 1 bixo complicado... > >> > > >> > Eu não quero apelar para 1 Active Directory/GPO... então, vamos > >> esperar > >> > uma luz... > >> > > >> > Célio > >> > > >> > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu: > >> > > >> > É isso que quero... > >> >> > >> >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para > >> >> prejudicar ou para se favorecer... > >> >> > >> >> Essa semana esse cara colocou o mesmo IP do servidor... parou a rede. > >> >> > >> >> Entende? > >> >> > >> >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y, > >> mesmo > >> >> que ele troque de IP ou MAC não vai adiantar... > >> >> > >> >> É disto que estou atrás... > >> >> > >> >> > >> >> Em 23 de dezembro de 2011 18:33, Celio Silva > >> >> <[email protected]>**escreveu: > >> >> > >> >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade... > >> >>> > >> >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados > >> >>> (Diretoria: notebooks, celulares, etc...) > >> >>> > >> >>> A idéia é criar algumas regras _antes do firewall e independenteo do > >> >>> DHCP_, que faça o seguinte: > >> >>> > >> >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso > >> contrário > >> >>> "drop" qualquer comunicação c/ Servidor... > >> >>> > >> >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac... > tanto > >> os > >> >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede... > >> >>> > >> >>> Quando qq usuário "engraçadinho" roubar o IP de outro equipamento... > >> ele > >> >>> nem conversará c/ o servidor... / podendo o servidor até > >> >>> "denunciar" > >> >>> que houve essa tentativa com data, hora e equipamento... > >> >>> > >> >>> Célio > >> >>> > >> >>> Em 23/12/2011 16:48, Roberval Sena escreveu: > >> >>> > >> >>> Salve marcos, > >> >>> > >> >>>> Deixa eu fazer uma pergunta básica, > >> >>>> Você disse que pelo iptables, amarrou um IP com um MAC, > >> >>>> digamos um exemplo: 192.168.1.10 com MAC ca:ca:ca:ca:ca:ca > >> >>>> > >> >>>> E que se esse cliente troca de ip.. ele continua navegando! certo? > >> mas > >> >>>> é > >> >>>> claro, não deveria! > >> >>>> > >> >>>> Bom... > >> >>>> Se as suas regras estiverem certas eu acho que deveria funcionar, > >> pois > >> >>>> comigo aqui via bem > >> >>>> > >> >>>> BOM 2... > >> >>>> Minha pergunta é .. > >> >>>> Suponha que essa estação trocou o IP para 192.168.1.11.... > >> >>>> > >> >>>> AGORA, > >> >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)? > >> >>>> pq.. se não tiver regra ele(firewall) deixa passar.... > >> >>>> > >> >>>> desculpe se a pergunta é boba.. só queria entender pra tentar > >> ajudar... > >> >>>> > >> >>>> []s Sena > >> >>>> > >> >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma< > [email protected] > >> >** > >> >>>> ** > >> >>>> escreveu: > >> >>>> > >> >>>> Olá, Marcos. > >> >>>> > >> >>>>> Bem, então neste caso não tem como impedir que os usuários troquem > >> o IP > >> >>>>> das > >> >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs > que > >> >>>>> podem > >> >>>>> passar pelo firewall (e quais protocolos eles podem passar) e > >> bloquear > >> >>>>> todo > >> >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar > >> o IP > >> >>>>> de > >> >>>>> outra máquina que está liberada. > >> >>>>> > >> >>>>> Um abraço. > >> >>>>> > >> >>>>> -- > >> >>>>> *Marta Vuelma* > >> >>>>> Senior Level Linux Professional (LPIC-3 Core) > >> >>>>> Novell Certified Linux Administrator (NCLA) > >> >>>>> martavuelma.wordpress.com > >> >>>>> @MartaVuelma > >> >>>>> > >> >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]< > >> [email protected] > >> >>>>> > >> >>>>> escreveu: > >> >>>>>> Não trabalhamos com DHCP. > >> >>>>>> > >> >>>>>> É atribuição manual. > >> >>>>>> > >> >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma< > >> [email protected] > >> >>>>>> > >> >>>>>> escreveu: > >> >>>>>>> Olá, Marcos. > >> >>>>>>> > >> >>>>>>> Para garantir que um determinado computador na rede receba > sempre > >> o > >> >>>>>>> > >> >>>>>>> mesmo > >> >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP. > >> Uma > >> >>>>>> vez > >> >>>>>> feito isto, poderás, então configurar no firewall os privilégios > >> para > >> >>>>>> os > >> >>>>>> respectivos IPs. > >> >>>>>> > >> >>>>>>> Lembrando que este tipo de controle que você está implementando, > >> >>>>>>> > >> >>>>>>> dependendo > >> >>>>>> > >> >>>>>> do número de hosts da sua rede pode ficar bem difícil de > >> gerenciar. > >> >>>>>>> > >> >>>>>>> Um exemplo de reserva no dhcpd.conf é: > >> >>>>>>> > >> >>>>>>> host nome_da_maquina { > >> >>>>>>> hardware ethernet 12:34:56:78:AB:CD; > >> >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina > >> >>>>>>> } > >> >>>>>>> > >> >>>>>>> Espero ter ajudado. > >> >>>>>>> Um abraço > >> >>>>>>> > >> >>>>>>> -- > >> >>>>>>> *Marta Vuelma* > >> >>>>>>> Senior Level Linux Professional (LPIC-3 Core) > >> >>>>>>> Novell Certified Linux Administrator (NCLA) > >> >>>>>>> martavuelma.wordpress.com > >> >>>>>>> @MartaVuelma > >> >>>>>>> > >> >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]< > >> >>>>>>> [email protected] > >> >>>>>>> > >> >>>>>>> escreveu: > >> >>>>>>>> Ubunteiros, > >> >>>>>>>> > >> >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso. > >> >>>>>>>> > >> >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que > >> estão > >> >>>>>>>> chegando... > >> >>>>>>>> > >> >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam > tentando > >> >>>>>>>> > >> >>>>>>>> trocar > >> >>>>>>> os > >> >>>>>>> > >> >>>>>>> IPs aleatoriamente > >> >>>>>>>> > >> >>>>>>>> para fugir das regras do firewall, já que alguns ips tem > >> privilégio > >> >>>>>>>> > >> >>>>>>>> na > >> >>>>>>> > >> >>>>>> rede. > >> >>>>>> > >> >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas > >> não > >> >>>>>>>> > >> >>>>>>>> obtive > >> >>>>>>> > >> >>>>>>> sucesso... > >> >>>>>>>> > >> >>>>>>>> > >> >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me > >> >>>>>>>> mandar > >> >>>>>>>> > >> >>>>>>>> um > >> >>>>>>> passo-a-passo de como > >> >>>>>>> > >> >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em > >> questão > >> >>>>>>>> > >> >>>>>>>> que > >> >>>>>>> recebeu o IP(1), se trocar o seu IP > >> >>>>>>> > >> >>>>>>>> para outro, ele deixe de navegar.... > >> >>>>>>>> > >> >>>>>>>> Exemplo: > >> >>>>>>>> > >> >>>>>>>> Maquina1: > >> >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício) > >> >>>>>>>> > >> >>>>>>>> Então no Firewall estaria cadastrado assim... > >> >>>>>>>> > >> >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique > >> >>>>>>>> > >> >>>>>>>> bloqueada e > >> >>>>>>> > >> >>>>>>> perca a conexão... > >> >>>>>>>> > >> >>>>>>>> Como fazer? > >> >>>>>>>> > >> >>>>>>>> Marcos > >> >>>>>>>> > >> >>>>>>>> -- > >> >>>>>>>> ------------------------------****- > >> >>>>>>>> Marcos Túlio G S JR > >> >>>>>>>> Setor de TI/SENAC/PB > >> >>>>>>>> > >> >>>>>>> > >> > -- > >> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece< > >> http://www.ubuntu-br.org/comece> > >> > > >> > Lista de discussão Ubuntu Brasil > >> > Histórico, descadastramento e outras opções: > >> > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br< > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br> > >> > > >> -- > >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > >> > >> Lista de discussão Ubuntu Brasil > >> Histórico, descadastramento e outras opções: > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > >> > > > > > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
