Se alguem tiver a mesma chave CA quer dizer: - Um usuário emprestou a chave CA para outro. - O outro usuário de algo forma copiou o CA.
Nesse caso, cancela os dois CAs, ai o usuário vai lá para reclamar que o workstation não está autenticando e voce adverte os dois e gera outro CA,. Em 24 de dezembro de 2011 00:38, Mauro Risonho de Paula Assumpção < mauro.riso...@gmail.com> escreveu: > As máquinas são Windows ou Linux, nas workstations? > > Coloca 802.1x com CA Certificado Digital, voce mesmo gera no > server...antes que autenticar, sem a chave não rola e duas chaves iguais > kill na segunda maquina > > Em 24 de dezembro de 2011 00:26, Roberval Sena > <roberval.s...@gmail.com>escreveu: > > Marcos, célio, >> >> Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra controlar >> usuários, pois nem todos tem a "manha" de trocar o MAC de seus micros .. >> ainda mais pelo MAC justamente daquela máquina que tem acessos >> privilegiados.. >> >> ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só >> colcoar regras pra toda a sua faixa de rede. >> >> Mas enfins, devez em quando aparece um "artista" que consegue (não sei se >> por acaso) driblar regras.. rsrs >> aí.. eu que sou o gerente da rede, monitoro! >> E pego o infrator... faço relatório e mando pra diretoria... >> >> Como eu monitoro? >> Tem várias ferramentas, e muita gente vai dar ótimas sugestões. >> Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai gravando >> no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele cliente, >> o >> IP e MAC que ele está usando no momento. >> >> Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe desse >> "LOG" que montei em todas as estações... ele roda bem quietinho... >> >> Logo, é só deixar por um tempo... depois é só procurar discrepâncias! >> >> >> []s Sena >> >> >> >> >> Em 24 de dezembro de 2011 00:06, Celio Silva >> <celiosidneisi...@gmail.com>escreveu: >> >> > Usuário é 1 bixo complicado... >> > >> > Eu não quero apelar para 1 Active Directory/GPO... então, vamos >> esperar >> > uma luz... >> > >> > Célio >> > >> > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu: >> > >> > É isso que quero... >> >> >> >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para >> >> prejudicar ou para se favorecer... >> >> >> >> Essa semana esse cara colocou o mesmo IP do servidor... parou a rede. >> >> >> >> Entende? >> >> >> >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y, >> mesmo >> >> que ele troque de IP ou MAC não vai adiantar... >> >> >> >> É disto que estou atrás... >> >> >> >> >> >> Em 23 de dezembro de 2011 18:33, Celio Silva >> >> <celiosidneisi...@gmail.com>**escreveu: >> >> >> >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade... >> >>> >> >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados >> >>> (Diretoria: notebooks, celulares, etc...) >> >>> >> >>> A idéia é criar algumas regras _antes do firewall e independenteo do >> >>> DHCP_, que faça o seguinte: >> >>> >> >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso >> contrário >> >>> "drop" qualquer comunicação c/ Servidor... >> >>> >> >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac... tanto >> os >> >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede... >> >>> >> >>> Quando qq usuário "engraçadinho" roubar o IP de outro equipamento... >> ele >> >>> nem conversará c/ o servidor... / podendo o servidor até >> >>> "denunciar" >> >>> que houve essa tentativa com data, hora e equipamento... >> >>> >> >>> Célio >> >>> >> >>> Em 23/12/2011 16:48, Roberval Sena escreveu: >> >>> >> >>> Salve marcos, >> >>> >> >>>> Deixa eu fazer uma pergunta básica, >> >>>> Você disse que pelo iptables, amarrou um IP com um MAC, >> >>>> digamos um exemplo: 192.168.1.10 com MAC ca:ca:ca:ca:ca:ca >> >>>> >> >>>> E que se esse cliente troca de ip.. ele continua navegando! certo? >> mas >> >>>> é >> >>>> claro, não deveria! >> >>>> >> >>>> Bom... >> >>>> Se as suas regras estiverem certas eu acho que deveria funcionar, >> pois >> >>>> comigo aqui via bem >> >>>> >> >>>> BOM 2... >> >>>> Minha pergunta é .. >> >>>> Suponha que essa estação trocou o IP para 192.168.1.11.... >> >>>> >> >>>> AGORA, >> >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)? >> >>>> pq.. se não tiver regra ele(firewall) deixa passar.... >> >>>> >> >>>> desculpe se a pergunta é boba.. só queria entender pra tentar >> ajudar... >> >>>> >> >>>> []s Sena >> >>>> >> >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma<marta.vue...@gmail.com >> >** >> >>>> ** >> >>>> escreveu: >> >>>> >> >>>> Olá, Marcos. >> >>>> >> >>>>> Bem, então neste caso não tem como impedir que os usuários troquem >> o IP >> >>>>> das >> >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs que >> >>>>> podem >> >>>>> passar pelo firewall (e quais protocolos eles podem passar) e >> bloquear >> >>>>> todo >> >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar >> o IP >> >>>>> de >> >>>>> outra máquina que está liberada. >> >>>>> >> >>>>> Um abraço. >> >>>>> >> >>>>> -- >> >>>>> *Marta Vuelma* >> >>>>> Senior Level Linux Professional (LPIC-3 Core) >> >>>>> Novell Certified Linux Administrator (NCLA) >> >>>>> martavuelma.wordpress.com >> >>>>> @MartaVuelma >> >>>>> >> >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]< >> mar...@pb.senac.br >> >>>>> >> >>>>> escreveu: >> >>>>>> Não trabalhamos com DHCP. >> >>>>>> >> >>>>>> É atribuição manual. >> >>>>>> >> >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma< >> marta.vue...@gmail.com >> >>>>>> >> >>>>>> escreveu: >> >>>>>>> Olá, Marcos. >> >>>>>>> >> >>>>>>> Para garantir que um determinado computador na rede receba sempre >> o >> >>>>>>> >> >>>>>>> mesmo >> >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP. >> Uma >> >>>>>> vez >> >>>>>> feito isto, poderás, então configurar no firewall os privilégios >> para >> >>>>>> os >> >>>>>> respectivos IPs. >> >>>>>> >> >>>>>>> Lembrando que este tipo de controle que você está implementando, >> >>>>>>> >> >>>>>>> dependendo >> >>>>>> >> >>>>>> do número de hosts da sua rede pode ficar bem difícil de >> gerenciar. >> >>>>>>> >> >>>>>>> Um exemplo de reserva no dhcpd.conf é: >> >>>>>>> >> >>>>>>> host nome_da_maquina { >> >>>>>>> hardware ethernet 12:34:56:78:AB:CD; >> >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina >> >>>>>>> } >> >>>>>>> >> >>>>>>> Espero ter ajudado. >> >>>>>>> Um abraço >> >>>>>>> >> >>>>>>> -- >> >>>>>>> *Marta Vuelma* >> >>>>>>> Senior Level Linux Professional (LPIC-3 Core) >> >>>>>>> Novell Certified Linux Administrator (NCLA) >> >>>>>>> martavuelma.wordpress.com >> >>>>>>> @MartaVuelma >> >>>>>>> >> >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]< >> >>>>>>> mar...@pb.senac.br >> >>>>>>> >> >>>>>>> escreveu: >> >>>>>>>> Ubunteiros, >> >>>>>>>> >> >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso. >> >>>>>>>> >> >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que >> estão >> >>>>>>>> chegando... >> >>>>>>>> >> >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando >> >>>>>>>> >> >>>>>>>> trocar >> >>>>>>> os >> >>>>>>> >> >>>>>>> IPs aleatoriamente >> >>>>>>>> >> >>>>>>>> para fugir das regras do firewall, já que alguns ips tem >> privilégio >> >>>>>>>> >> >>>>>>>> na >> >>>>>>> >> >>>>>> rede. >> >>>>>> >> >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas >> não >> >>>>>>>> >> >>>>>>>> obtive >> >>>>>>> >> >>>>>>> sucesso... >> >>>>>>>> >> >>>>>>>> >> >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me >> >>>>>>>> mandar >> >>>>>>>> >> >>>>>>>> um >> >>>>>>> passo-a-passo de como >> >>>>>>> >> >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em >> questão >> >>>>>>>> >> >>>>>>>> que >> >>>>>>> recebeu o IP(1), se trocar o seu IP >> >>>>>>> >> >>>>>>>> para outro, ele deixe de navegar.... >> >>>>>>>> >> >>>>>>>> Exemplo: >> >>>>>>>> >> >>>>>>>> Maquina1: >> >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício) >> >>>>>>>> >> >>>>>>>> Então no Firewall estaria cadastrado assim... >> >>>>>>>> >> >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique >> >>>>>>>> >> >>>>>>>> bloqueada e >> >>>>>>> >> >>>>>>> perca a conexão... >> >>>>>>>> >> >>>>>>>> Como fazer? >> >>>>>>>> >> >>>>>>>> Marcos >> >>>>>>>> >> >>>>>>>> -- >> >>>>>>>> ------------------------------****- >> >>>>>>>> Marcos Túlio G S JR >> >>>>>>>> Setor de TI/SENAC/PB >> >>>>>>>> >> >>>>>>> >> > -- >> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece< >> http://www.ubuntu-br.org/comece> >> > >> > Lista de discussão Ubuntu Brasil >> > Histórico, descadastramento e outras opções: >> > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br< >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br> >> > >> -- >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece >> >> Lista de discussão Ubuntu Brasil >> Histórico, descadastramento e outras opções: >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br >> > > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br