Marlon Valério, Como é que se libera pelo MAC ao invés do IP ?
Em 2 de janeiro de 2012 10:16, Marlon <yoda...@gmail.com> escreveu: > libera pelo mac ao inves do ip.... usuário AINDA não sabe trocar o mac :) > -- > > Marlon Valério > ┌─────────────────┐ > Problems, lots of Problems > └─────────────────┘ > > > > Em 24 de dezembro de 2011 00:45, Mauro Risonho de Paula Assumpção < > mauro.riso...@gmail.com> escreveu: > > > Se alguem tiver a mesma chave CA quer dizer: > > > > - Um usuário emprestou a chave CA para outro. > > - O outro usuário de algo forma copiou o CA. > > > > Nesse caso, cancela os dois CAs, ai o usuário vai lá para reclamar que o > > workstation não está autenticando e voce adverte os dois e gera outro > CA,. > > > > > > Em 24 de dezembro de 2011 00:38, Mauro Risonho de Paula Assumpção < > > mauro.riso...@gmail.com> escreveu: > > > > > As máquinas são Windows ou Linux, nas workstations? > > > > > > Coloca 802.1x com CA Certificado Digital, voce mesmo gera no > > > server...antes que autenticar, sem a chave não rola e duas chaves > iguais > > > kill na segunda maquina > > > > > > Em 24 de dezembro de 2011 00:26, Roberval Sena < > roberval.s...@gmail.com > > >escreveu: > > > > > > Marcos, célio, > > >> > > >> Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra > controlar > > >> usuários, pois nem todos tem a "manha" de trocar o MAC de seus micros > > .. > > >> ainda mais pelo MAC justamente daquela máquina que tem acessos > > >> privilegiados.. > > >> > > >> ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só > > >> colcoar regras pra toda a sua faixa de rede. > > >> > > >> Mas enfins, devez em quando aparece um "artista" que consegue (não > sei > > se > > >> por acaso) driblar regras.. rsrs > > >> aí.. eu que sou o gerente da rede, monitoro! > > >> E pego o infrator... faço relatório e mando pra diretoria... > > >> > > >> Como eu monitoro? > > >> Tem várias ferramentas, e muita gente vai dar ótimas sugestões. > > >> Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai > > gravando > > >> no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele > > cliente, > > >> o > > >> IP e MAC que ele está usando no momento. > > >> > > >> Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe > > desse > > >> "LOG" que montei em todas as estações... ele roda bem quietinho... > > >> > > >> Logo, é só deixar por um tempo... depois é só procurar discrepâncias! > > >> > > >> > > >> []s Sena > > >> > > >> > > >> > > >> > > >> Em 24 de dezembro de 2011 00:06, Celio Silva > > >> <celiosidneisi...@gmail.com>escreveu: > > >> > > >> > Usuário é 1 bixo complicado... > > >> > > > >> > Eu não quero apelar para 1 Active Directory/GPO... então, vamos > > >> esperar > > >> > uma luz... > > >> > > > >> > Célio > > >> > > > >> > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu: > > >> > > > >> > É isso que quero... > > >> >> > > >> >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para > > >> >> prejudicar ou para se favorecer... > > >> >> > > >> >> Essa semana esse cara colocou o mesmo IP do servidor... parou a > rede. > > >> >> > > >> >> Entende? > > >> >> > > >> >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y, > > >> mesmo > > >> >> que ele troque de IP ou MAC não vai adiantar... > > >> >> > > >> >> É disto que estou atrás... > > >> >> > > >> >> > > >> >> Em 23 de dezembro de 2011 18:33, Celio Silva > > >> >> <celiosidneisi...@gmail.com>**escreveu: > > >> >> > > >> >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade... > > >> >>> > > >> >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são > liberados > > >> >>> (Diretoria: notebooks, celulares, etc...) > > >> >>> > > >> >>> A idéia é criar algumas regras _antes do firewall e independenteo > do > > >> >>> DHCP_, que faça o seguinte: > > >> >>> > > >> >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso > > >> contrário > > >> >>> "drop" qualquer comunicação c/ Servidor... > > >> >>> > > >> >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac... > > tanto > > >> os > > >> >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede... > > >> >>> > > >> >>> Quando qq usuário "engraçadinho" roubar o IP de outro > equipamento... > > >> ele > > >> >>> nem conversará c/ o servidor... / podendo o servidor até > > >> >>> "denunciar" > > >> >>> que houve essa tentativa com data, hora e equipamento... > > >> >>> > > >> >>> Célio > > >> >>> > > >> >>> Em 23/12/2011 16:48, Roberval Sena escreveu: > > >> >>> > > >> >>> Salve marcos, > > >> >>> > > >> >>>> Deixa eu fazer uma pergunta básica, > > >> >>>> Você disse que pelo iptables, amarrou um IP com um MAC, > > >> >>>> digamos um exemplo: 192.168.1.10 com MAC ca:ca:ca:ca:ca:ca > > >> >>>> > > >> >>>> E que se esse cliente troca de ip.. ele continua navegando! > certo? > > >> mas > > >> >>>> é > > >> >>>> claro, não deveria! > > >> >>>> > > >> >>>> Bom... > > >> >>>> Se as suas regras estiverem certas eu acho que deveria funcionar, > > >> pois > > >> >>>> comigo aqui via bem > > >> >>>> > > >> >>>> BOM 2... > > >> >>>> Minha pergunta é .. > > >> >>>> Suponha que essa estação trocou o IP para 192.168.1.11.... > > >> >>>> > > >> >>>> AGORA, > > >> >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)? > > >> >>>> pq.. se não tiver regra ele(firewall) deixa passar.... > > >> >>>> > > >> >>>> desculpe se a pergunta é boba.. só queria entender pra tentar > > >> ajudar... > > >> >>>> > > >> >>>> []s Sena > > >> >>>> > > >> >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma< > > marta.vue...@gmail.com > > >> >** > > >> >>>> ** > > >> >>>> escreveu: > > >> >>>> > > >> >>>> Olá, Marcos. > > >> >>>> > > >> >>>>> Bem, então neste caso não tem como impedir que os usuários > troquem > > >> o IP > > >> >>>>> das > > >> >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs > > que > > >> >>>>> podem > > >> >>>>> passar pelo firewall (e quais protocolos eles podem passar) e > > >> bloquear > > >> >>>>> todo > > >> >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar > colocar > > >> o IP > > >> >>>>> de > > >> >>>>> outra máquina que está liberada. > > >> >>>>> > > >> >>>>> Um abraço. > > >> >>>>> > > >> >>>>> -- > > >> >>>>> *Marta Vuelma* > > >> >>>>> Senior Level Linux Professional (LPIC-3 Core) > > >> >>>>> Novell Certified Linux Administrator (NCLA) > > >> >>>>> martavuelma.wordpress.com > > >> >>>>> @MartaVuelma > > >> >>>>> > > >> >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]< > > >> mar...@pb.senac.br > > >> >>>>> > > >> >>>>> escreveu: > > >> >>>>>> Não trabalhamos com DHCP. > > >> >>>>>> > > >> >>>>>> É atribuição manual. > > >> >>>>>> > > >> >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma< > > >> marta.vue...@gmail.com > > >> >>>>>> > > >> >>>>>> escreveu: > > >> >>>>>>> Olá, Marcos. > > >> >>>>>>> > > >> >>>>>>> Para garantir que um determinado computador na rede receba > > sempre > > >> o > > >> >>>>>>> > > >> >>>>>>> mesmo > > >> >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor > DHCP. > > >> Uma > > >> >>>>>> vez > > >> >>>>>> feito isto, poderás, então configurar no firewall os > privilégios > > >> para > > >> >>>>>> os > > >> >>>>>> respectivos IPs. > > >> >>>>>> > > >> >>>>>>> Lembrando que este tipo de controle que você está > implementando, > > >> >>>>>>> > > >> >>>>>>> dependendo > > >> >>>>>> > > >> >>>>>> do número de hosts da sua rede pode ficar bem difícil de > > >> gerenciar. > > >> >>>>>>> > > >> >>>>>>> Um exemplo de reserva no dhcpd.conf é: > > >> >>>>>>> > > >> >>>>>>> host nome_da_maquina { > > >> >>>>>>> hardware ethernet 12:34:56:78:AB:CD; > > >> >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta > máquina > > >> >>>>>>> } > > >> >>>>>>> > > >> >>>>>>> Espero ter ajudado. > > >> >>>>>>> Um abraço > > >> >>>>>>> > > >> >>>>>>> -- > > >> >>>>>>> *Marta Vuelma* > > >> >>>>>>> Senior Level Linux Professional (LPIC-3 Core) > > >> >>>>>>> Novell Certified Linux Administrator (NCLA) > > >> >>>>>>> martavuelma.wordpress.com > > >> >>>>>>> @MartaVuelma > > >> >>>>>>> > > >> >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]< > > >> >>>>>>> mar...@pb.senac.br > > >> >>>>>>> > > >> >>>>>>> escreveu: > > >> >>>>>>>> Ubunteiros, > > >> >>>>>>>> > > >> >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em > desuso. > > >> >>>>>>>> > > >> >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que > > >> estão > > >> >>>>>>>> chegando... > > >> >>>>>>>> > > >> >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam > > tentando > > >> >>>>>>>> > > >> >>>>>>>> trocar > > >> >>>>>>> os > > >> >>>>>>> > > >> >>>>>>> IPs aleatoriamente > > >> >>>>>>>> > > >> >>>>>>>> para fugir das regras do firewall, já que alguns ips tem > > >> privilégio > > >> >>>>>>>> > > >> >>>>>>>> na > > >> >>>>>>> > > >> >>>>>> rede. > > >> >>>>>> > > >> >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... > mas > > >> não > > >> >>>>>>>> > > >> >>>>>>>> obtive > > >> >>>>>>> > > >> >>>>>>> sucesso... > > >> >>>>>>>> > > >> >>>>>>>> > > >> >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa > me > > >> >>>>>>>> mandar > > >> >>>>>>>> > > >> >>>>>>>> um > > >> >>>>>>> passo-a-passo de como > > >> >>>>>>> > > >> >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em > > >> questão > > >> >>>>>>>> > > >> >>>>>>>> que > > >> >>>>>>> recebeu o IP(1), se trocar o seu IP > > >> >>>>>>> > > >> >>>>>>>> para outro, ele deixe de navegar.... > > >> >>>>>>>> > > >> >>>>>>>> Exemplo: > > >> >>>>>>>> > > >> >>>>>>>> Maquina1: > > >> >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício) > > >> >>>>>>>> > > >> >>>>>>>> Então no Firewall estaria cadastrado assim... > > >> >>>>>>>> > > >> >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina > fique > > >> >>>>>>>> > > >> >>>>>>>> bloqueada e > > >> >>>>>>> > > >> >>>>>>> perca a conexão... > > >> >>>>>>>> > > >> >>>>>>>> Como fazer? > > >> >>>>>>>> > > >> >>>>>>>> Marcos > > >> >>>>>>>> > > >> >>>>>>>> -- > > >> >>>>>>>> ------------------------------****- > > >> >>>>>>>> Marcos Túlio G S JR > > >> >>>>>>>> Setor de TI/SENAC/PB > > >> >>>>>>>> > > >> >>>>>>> > > >> > -- > > >> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece > < > > >> http://www.ubuntu-br.org/comece> > > >> > > > >> > Lista de discussão Ubuntu Brasil > > >> > Histórico, descadastramento e outras opções: > > >> > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br< > > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br> > > >> > > > >> -- > > >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > >> > > >> Lista de discussão Ubuntu Brasil > > >> Histórico, descadastramento e outras opções: > > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > >> > > > > > > > > -- > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > > > Lista de discussão Ubuntu Brasil > > Histórico, descadastramento e outras opções: > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- ------------------------------- Marcos Túlio G S JR Setor de TI/SENAC/PB -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br