[Ubuntu-BR] IP & MAC

Mauro Risonho de Paula Assumpção mauro.risonho em gmail.com
Sábado Dezembro 24 02:38:56 UTC 2011 

As máquinas são Windows ou Linux, nas workstations?

Coloca 802.1x com CA Certificado Digital, voce mesmo gera no server...antes
que autenticar, sem a chave não rola e duas chaves iguais kill na segunda
maquina

Em 24 de dezembro de 2011 00:26, Roberval Sena
<roberval.sena em gmail.com>escreveu:

> Marcos, célio,
>
> Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra controlar
> usuários, pois nem todos tem  a "manha" de trocar o MAC de seus micros ..
> ainda mais pelo MAC justamente daquela máquina que tem acessos
> privilegiados..
>
> ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só
> colcoar regras pra toda a sua faixa de rede.
>
> Mas enfins, devez em quando  aparece um "artista" que consegue (não sei se
> por acaso) driblar regras..  rsrs
> aí.. eu que sou o  gerente da rede, monitoro!
> E pego o infrator...  faço relatório e mando pra diretoria...
>
> Como eu monitoro?
> Tem várias ferramentas, e muita gente vai dar ótimas sugestões.
> Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai gravando
> no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele cliente, o
> IP e MAC que ele está usando no momento.
>
> Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe desse
> "LOG" que montei em todas as estações... ele roda bem quietinho...
>
> Logo, é só deixar por um tempo... depois é só procurar discrepâncias!
>
>
> []s Sena
>
>
>
>
> Em 24 de dezembro de 2011 00:06, Celio Silva
> <celiosidneisilva em gmail.com>escreveu:
>
> > Usuário é 1 bixo complicado...
> >
> > Eu não quero apelar para 1 Active Directory/GPO...    então, vamos
> esperar
> > uma luz...
> >
> > Célio
> >
> > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu:
> >
> >  É isso que quero...
> >>
> >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para
> >> prejudicar ou para se favorecer...
> >>
> >> Essa semana esse cara colocou o mesmo IP do servidor... parou a rede.
> >>
> >> Entende?
> >>
> >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y, mesmo
> >> que ele troque de IP ou MAC não vai adiantar...
> >>
> >> É disto que estou atrás...
> >>
> >>
> >> Em 23 de dezembro de 2011 18:33, Celio Silva
> >> <celiosidneisilva em gmail.com>**escreveu:
> >>
> >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade...
> >>>
> >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados
> >>> (Diretoria: notebooks, celulares, etc...)
> >>>
> >>> A idéia é criar algumas regras _antes do firewall e independenteo do
> >>> DHCP_, que faça o seguinte:
> >>>
> >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso
> contrário
> >>> "drop" qualquer comunicação c/ Servidor...
> >>>
> >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac...    tanto
> os
> >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede...
> >>>
> >>> Quando qq usuário "engraçadinho" roubar o IP de outro equipamento...
> ele
> >>> nem conversará c/ o servidor...    /    podendo o servidor até
> >>> "denunciar"
> >>> que houve essa tentativa com data, hora e equipamento...
> >>>
> >>> Célio
> >>>
> >>> Em 23/12/2011 16:48, Roberval Sena escreveu:
> >>>
> >>>  Salve marcos,
> >>>
> >>>> Deixa eu fazer uma pergunta básica,
> >>>> Você disse que pelo iptables, amarrou um IP com um MAC,
> >>>> digamos um exemplo:  192.168.1.10 com MAC ca:ca:ca:ca:ca:ca
> >>>>
> >>>> E que se esse cliente troca de ip.. ele continua navegando! certo?
>  mas
> >>>> é
> >>>> claro, não deveria!
> >>>>
> >>>> Bom...
> >>>> Se as suas regras estiverem certas eu acho que deveria funcionar, pois
> >>>> comigo aqui via bem
> >>>>
> >>>> BOM 2...
> >>>> Minha pergunta é ..
> >>>> Suponha que essa estação trocou o IP para 192.168.1.11....
> >>>>
> >>>> AGORA,
> >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)?
> >>>> pq.. se não tiver regra ele(firewall) deixa passar....
> >>>>
> >>>> desculpe se a pergunta é boba.. só queria entender pra tentar
> ajudar...
> >>>>
> >>>> []s Sena
> >>>>
> >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma<marta.vuelma em gmail.com
> >**
> >>>> **
> >>>> escreveu:
> >>>>
> >>>>  Olá, Marcos.
> >>>>
> >>>>> Bem, então neste caso não tem como impedir que os usuários troquem o
> IP
> >>>>> das
> >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs que
> >>>>> podem
> >>>>> passar pelo firewall (e quais protocolos eles podem passar) e
> bloquear
> >>>>> todo
> >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar o
> IP
> >>>>> de
> >>>>> outra máquina que está liberada.
> >>>>>
> >>>>> Um abraço.
> >>>>>
> >>>>> --
> >>>>> *Marta Vuelma*
> >>>>> Senior Level Linux Professional (LPIC-3 Core)
> >>>>> Novell Certified Linux Administrator (NCLA)
> >>>>> martavuelma.wordpress.com
> >>>>> @MartaVuelma
> >>>>>
> >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]<
> marcos em pb.senac.br
> >>>>>
> >>>>>  escreveu:
> >>>>>> Não trabalhamos com DHCP.
> >>>>>>
> >>>>>> É atribuição manual.
> >>>>>>
> >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma<
> marta.vuelma em gmail.com
> >>>>>>
> >>>>>>  escreveu:
> >>>>>>> Olá, Marcos.
> >>>>>>>
> >>>>>>> Para garantir que um determinado computador na rede receba sempre o
> >>>>>>>
> >>>>>>>  mesmo
> >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP.
> Uma
> >>>>>> vez
> >>>>>> feito isto, poderás, então configurar no firewall os privilégios
> para
> >>>>>> os
> >>>>>> respectivos IPs.
> >>>>>>
> >>>>>>> Lembrando que este tipo de controle que você está implementando,
> >>>>>>>
> >>>>>>>  dependendo
> >>>>>>
> >>>>>>  do número de hosts da sua rede pode ficar bem difícil de gerenciar.
> >>>>>>>
> >>>>>>> Um exemplo de reserva no dhcpd.conf é:
> >>>>>>>
> >>>>>>> host nome_da_maquina {
> >>>>>>> hardware ethernet 12:34:56:78:AB:CD;
> >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina
> >>>>>>> }
> >>>>>>>
> >>>>>>> Espero ter ajudado.
> >>>>>>> Um abraço
> >>>>>>>
> >>>>>>> --
> >>>>>>> *Marta Vuelma*
> >>>>>>> Senior Level Linux Professional (LPIC-3 Core)
> >>>>>>> Novell Certified Linux Administrator (NCLA)
> >>>>>>> martavuelma.wordpress.com
> >>>>>>> @MartaVuelma
> >>>>>>>
> >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]<
> >>>>>>> marcos em pb.senac.br
> >>>>>>>
> >>>>>>>  escreveu:
> >>>>>>>> Ubunteiros,
> >>>>>>>>
> >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso.
> >>>>>>>>
> >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que estão
> >>>>>>>> chegando...
> >>>>>>>>
> >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam tentando
> >>>>>>>>
> >>>>>>>>  trocar
> >>>>>>> os
> >>>>>>>
> >>>>>>>  IPs aleatoriamente
> >>>>>>>>
> >>>>>>>> para fugir das regras do firewall, já que alguns ips tem
> privilégio
> >>>>>>>>
> >>>>>>>>  na
> >>>>>>>
> >>>>>> rede.
> >>>>>>
> >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas não
> >>>>>>>>
> >>>>>>>>  obtive
> >>>>>>>
> >>>>>>>  sucesso...
> >>>>>>>>
> >>>>>>>>
> >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me
> >>>>>>>> mandar
> >>>>>>>>
> >>>>>>>>  um
> >>>>>>> passo-a-passo de como
> >>>>>>>
> >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em
> questão
> >>>>>>>>
> >>>>>>>>  que
> >>>>>>> recebeu o IP(1), se trocar o seu IP
> >>>>>>>
> >>>>>>>> para outro, ele deixe de navegar....
> >>>>>>>>
> >>>>>>>> Exemplo:
> >>>>>>>>
> >>>>>>>> Maquina1:
> >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício)
> >>>>>>>>
> >>>>>>>> Então no Firewall estaria cadastrado assim...
> >>>>>>>>
> >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique
> >>>>>>>>
> >>>>>>>>  bloqueada e
> >>>>>>>
> >>>>>>>  perca a conexão...
> >>>>>>>>
> >>>>>>>> Como fazer?
> >>>>>>>>
> >>>>>>>> Marcos
> >>>>>>>>
> >>>>>>>> --
> >>>>>>>> ------------------------------****-
> >>>>>>>> Marcos Túlio G S JR
> >>>>>>>> Setor de TI/SENAC/PB
> >>>>>>>>
> >>>>>>>
> > --
> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece<
> http://www.ubuntu-br.org/comece>
> >
> > Lista de discussão Ubuntu Brasil
> > Histórico, descadastramento e outras opções:
> > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br<
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br>
> >
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>

More information about the ubuntu-br mailing list