Se alguem tiver a mesma chave CA quer dizer:
- Um usuário emprestou a chave CA para outro.
- O outro usuário de algo forma copiou o CA.
Nesse caso, cancela os dois CAs, ai o usuário vai lá para reclamar que o
workstation não está autenticando e voce adverte os dois e gera outro CA,.
Em 24 de dezembro de 2011 00:38, Mauro Risonho de Paula Assumpção <
mauro.riso...@gmail.com> escreveu:
> As máquinas são Windows ou Linux, nas workstations?
>
> Coloca 802.1x com CA Certificado Digital, voce mesmo gera no
> server...antes que autenticar, sem a chave não rola e duas chaves iguais
> kill na segunda maquina
>
> Em 24 de dezembro de 2011 00:26, Roberval Sena
> <roberval.s...@gmail.com>escreveu:
>
> Marcos, célio,
>>
>> Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra controlar
>> usuários, pois nem todos tem a "manha" de trocar o MAC de seus micros ..
>> ainda mais pelo MAC justamente daquela máquina que tem acessos
>> privilegiados..
>>
>> ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só
>> colcoar regras pra toda a sua faixa de rede.
>>
>> Mas enfins, devez em quando aparece um "artista" que consegue (não sei se
>> por acaso) driblar regras.. rsrs
>> aí.. eu que sou o gerente da rede, monitoro!
>> E pego o infrator... faço relatório e mando pra diretoria...
>>
>> Como eu monitoro?
>> Tem várias ferramentas, e muita gente vai dar ótimas sugestões.
>> Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai gravando
>> no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele cliente,
>> o
>> IP e MAC que ele está usando no momento.
>>
>> Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe desse
>> "LOG" que montei em todas as estações... ele roda bem quietinho...
>>
>> Logo, é só deixar por um tempo... depois é só procurar discrepâncias!
>>
>>
>> []s Sena
>>
>>
>>
>>
>> Em 24 de dezembro de 2011 00:06, Celio Silva
>> <celiosidneisi...@gmail.com>escreveu:
>>
>> > Usuário é 1 bixo complicado...
>> >
>> > Eu não quero apelar para 1 Active Directory/GPO... então, vamos
>> esperar
>> > uma luz...
>> >
>> > Célio
>> >
>> > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu:
>> >
>> > É isso que quero...
>> >>
>> >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para
>> >> prejudicar ou para se favorecer...
>> >>
>> >> Essa semana esse cara colocou o mesmo IP do servidor... parou a rede.
>> >>
>> >> Entende?
>> >>
>> >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y,
>> mesmo
>> >> que ele troque de IP ou MAC não vai adiantar...
>> >>
>> >> É disto que estou atrás...
>> >>
>> >>
>> >> Em 23 de dezembro de 2011 18:33, Celio Silva
>> >> <celiosidneisi...@gmail.com>**escreveu:
>> >>
>> >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade...
>> >>>
>> >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados
>> >>> (Diretoria: notebooks, celulares, etc...)
>> >>>
>> >>> A idéia é criar algumas regras _antes do firewall e independenteo do
>> >>> DHCP_, que faça o seguinte:
>> >>>
>> >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso
>> contrário
>> >>> "drop" qualquer comunicação c/ Servidor...
>> >>>
>> >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac... tanto
>> os
>> >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede...
>> >>>
>> >>> Quando qq usuário "engraçadinho" roubar o IP de outro equipamento...
>> ele
>> >>> nem conversará c/ o servidor... / podendo o servidor até
>> >>> "denunciar"
>> >>> que houve essa tentativa com data, hora e equipamento...
>> >>>
>> >>> Célio
>> >>>
>> >>> Em 23/12/2011 16:48, Roberval Sena escreveu:
>> >>>
>> >>> Salve marcos,
>> >>>
>> >>>> Deixa eu fazer uma pergunta básica,
>> >>>> Você disse que pelo iptables, amarrou um IP com um MAC,
>> >>>> digamos um exemplo: 192.168.1.10 com MAC ca:ca:ca:ca:ca:ca
>> >>>>
>> >>>> E que se esse cliente troca de ip.. ele continua navegando! certo?
>> mas
>> >>>> é
>> >>>> claro, não deveria!
>> >>>>
>> >>>> Bom...
>> >>>> Se as suas regras estiverem certas eu acho que deveria funcionar,
>> pois
>> >>>> comigo aqui via bem
>> >>>>
>> >>>> BOM 2...
>> >>>> Minha pergunta é ..
>> >>>> Suponha que essa estação trocou o IP para 192.168.1.11....
>> >>>>
>> >>>> AGORA,
>> >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)?
>> >>>> pq.. se não tiver regra ele(firewall) deixa passar....
>> >>>>
>> >>>> desculpe se a pergunta é boba.. só queria entender pra tentar
>> ajudar...
>> >>>>
>> >>>> []s Sena
>> >>>>
>> >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma<marta.vue...@gmail.com
>> >**
>> >>>> **
>> >>>> escreveu:
>> >>>>
>> >>>> Olá, Marcos.
>> >>>>
>> >>>>> Bem, então neste caso não tem como impedir que os usuários troquem
>> o IP
>> >>>>> das
>> >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs que
>> >>>>> podem
>> >>>>> passar pelo firewall (e quais protocolos eles podem passar) e
>> bloquear
>> >>>>> todo
>> >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar
>> o IP
>> >>>>> de
>> >>>>> outra máquina que está liberada.
>> >>>>>
>> >>>>> Um abraço.
>> >>>>>
>> >>>>> --
>> >>>>> *Marta Vuelma*
>> >>>>> Senior Level Linux Professional (LPIC-3 Core)
>> >>>>> Novell Certified Linux Administrator (NCLA)
>> >>>>> martavuelma.wordpress.com
>> >>>>> @MartaVuelma
>> >>>>>
>> >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]<
>> mar...@pb.senac.br
>> >>>>>
>> >>>>> escreveu:
>> >>>>>> Não trabalhamos com DHCP.
>> >>>>>>
>> >>>>>> É atribuição manual.
>> >>>>>>
>> >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma<
>> marta.vue...@gmail.com
>> >>>>>>
>> >>>>>> escreveu:
>> >>>>>>> Olá, Marcos.
>> >>>>>>>
>> >>>>>>> Para garantir que um determinado computador na rede receba sempre
>> o
>> >>>>>>>
>> >>>>>>> mesmo
>> >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP.
>> Uma
>> >>>>>> vez
>> >>>>>> feito isto, poderás, então configurar no firewall os privilégios
>> para
>> >>>>>> os
>> >>>>>> respectivos IPs.
>> >>>>>>
>> >>>>>>> Lembrando que este tipo de controle que você está implementando,
>> >>>>>>>
>> >>>>>>> dependendo
>> >>>>>>
>> >>>>>> do número de hosts da sua rede pode ficar bem difícil de
>> gerenciar.
>> >>>>>>>
>> >>>>>>> Um exemplo de reserva no dhcpd.conf é:
>> >>>>>>>
>> >>>>>>> host nome_da_maquina {
>> >>>>>>> hardware ethernet 12:34:56:78:AB:CD;
>> >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina
>> >>>>>>> }
>> >>>>>>>
>> >>>>>>> Espero ter ajudado.
>> >>>>>>> Um abraço
>> >>>>>>>
>> >>>>>>> --
>> >>>>>>> *Marta Vuelma*
>> >>>>>>> Senior Level Linux Professional (LPIC-3 Core)
>> >>>>>>> Novell Certified Linux Administrator (NCLA)
>> >>>>>>> martavuelma.wordpress.com
>> >>>>>>> @MartaVuelma
>> >>>>>>>
>> >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]<
>> >>>>>>> mar...@pb.senac.br
>> >>>>>>>
>> >>>>>>> escreveu:
>> >>>>>>>> Ubunteiros,
>> >>>>>>>>
>> >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso.
>> >>>>>>>>
>> >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que
>> estão
>> >>>>>>>> chegando...
>> >>>>>>>>
>> >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando
>> >>>>>>>>
>> >>>>>>>> trocar
>> >>>>>>> os
>> >>>>>>>
>> >>>>>>> IPs aleatoriamente
>> >>>>>>>>
>> >>>>>>>> para fugir das regras do firewall, já que alguns ips tem
>> privilégio
>> >>>>>>>>
>> >>>>>>>> na
>> >>>>>>>
>> >>>>>> rede.
>> >>>>>>
>> >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas
>> não
>> >>>>>>>>
>> >>>>>>>> obtive
>> >>>>>>>
>> >>>>>>> sucesso...
>> >>>>>>>>
>> >>>>>>>>
>> >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me
>> >>>>>>>> mandar
>> >>>>>>>>
>> >>>>>>>> um
>> >>>>>>> passo-a-passo de como
>> >>>>>>>
>> >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em
>> questão
>> >>>>>>>>
>> >>>>>>>> que
>> >>>>>>> recebeu o IP(1), se trocar o seu IP
>> >>>>>>>
>> >>>>>>>> para outro, ele deixe de navegar....
>> >>>>>>>>
>> >>>>>>>> Exemplo:
>> >>>>>>>>
>> >>>>>>>> Maquina1:
>> >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício)
>> >>>>>>>>
>> >>>>>>>> Então no Firewall estaria cadastrado assim...
>> >>>>>>>>
>> >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique
>> >>>>>>>>
>> >>>>>>>> bloqueada e
>> >>>>>>>
>> >>>>>>> perca a conexão...
>> >>>>>>>>
>> >>>>>>>> Como fazer?
>> >>>>>>>>
>> >>>>>>>> Marcos
>> >>>>>>>>
>> >>>>>>>> --
>> >>>>>>>> ------------------------------****-
>> >>>>>>>> Marcos Túlio G S JR
>> >>>>>>>> Setor de TI/SENAC/PB
>> >>>>>>>>
>> >>>>>>>
>> > --
>> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece<
>> http://www.ubuntu-br.org/comece>
>> >
>> > Lista de discussão Ubuntu Brasil
>> > Histórico, descadastramento e outras opções:
>> > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br<
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br>
>> >
>> --
>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>
>> Lista de discussão Ubuntu Brasil
>> Histórico, descadastramento e outras opções:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>
>
>
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
