[Ubuntu-BR] IP & MAC

Marlon yodatsi em gmail.com
Segunda Janeiro 2 13:16:56 UTC 2012


libera pelo mac ao inves do ip.... usuário AINDA não sabe trocar o mac :)
--

Marlon Valério
┌─────────────────┐
  Problems, lots of Problems
└─────────────────┘



Em 24 de dezembro de 2011 00:45, Mauro Risonho de Paula Assumpção <
mauro.risonho em gmail.com> escreveu:

> Se alguem tiver a mesma chave CA quer dizer:
>
> - Um usuário emprestou a chave CA para outro.
> - O outro usuário de algo forma copiou o CA.
>
> Nesse caso, cancela os dois CAs, ai o usuário vai lá para reclamar que o
> workstation não está autenticando e voce adverte os dois e gera outro CA,.
>
>
> Em 24 de dezembro de 2011 00:38, Mauro Risonho de Paula Assumpção <
> mauro.risonho em gmail.com> escreveu:
>
> > As máquinas são Windows ou Linux, nas workstations?
> >
> > Coloca 802.1x com CA Certificado Digital, voce mesmo gera no
> > server...antes que autenticar, sem a chave não rola e duas chaves iguais
> > kill na segunda maquina
> >
> > Em 24 de dezembro de 2011 00:26, Roberval Sena <roberval.sena em gmail.com
> >escreveu:
> >
> > Marcos, célio,
> >>
> >> Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra controlar
> >> usuários, pois nem todos tem  a "manha" de trocar o MAC de seus micros
> ..
> >> ainda mais pelo MAC justamente daquela máquina que tem acessos
> >> privilegiados..
> >>
> >> ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só
> >> colcoar regras pra toda a sua faixa de rede.
> >>
> >> Mas enfins, devez em quando  aparece um "artista" que consegue (não sei
> se
> >> por acaso) driblar regras..  rsrs
> >> aí.. eu que sou o  gerente da rede, monitoro!
> >> E pego o infrator...  faço relatório e mando pra diretoria...
> >>
> >> Como eu monitoro?
> >> Tem várias ferramentas, e muita gente vai dar ótimas sugestões.
> >> Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai
> gravando
> >> no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele
> cliente,
> >> o
> >> IP e MAC que ele está usando no momento.
> >>
> >> Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe
> desse
> >> "LOG" que montei em todas as estações... ele roda bem quietinho...
> >>
> >> Logo, é só deixar por um tempo... depois é só procurar discrepâncias!
> >>
> >>
> >> []s Sena
> >>
> >>
> >>
> >>
> >> Em 24 de dezembro de 2011 00:06, Celio Silva
> >> <celiosidneisilva em gmail.com>escreveu:
> >>
> >> > Usuário é 1 bixo complicado...
> >> >
> >> > Eu não quero apelar para 1 Active Directory/GPO...    então, vamos
> >> esperar
> >> > uma luz...
> >> >
> >> > Célio
> >> >
> >> > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu:
> >> >
> >> >  É isso que quero...
> >> >>
> >> >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para
> >> >> prejudicar ou para se favorecer...
> >> >>
> >> >> Essa semana esse cara colocou o mesmo IP do servidor... parou a rede.
> >> >>
> >> >> Entende?
> >> >>
> >> >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y,
> >> mesmo
> >> >> que ele troque de IP ou MAC não vai adiantar...
> >> >>
> >> >> É disto que estou atrás...
> >> >>
> >> >>
> >> >> Em 23 de dezembro de 2011 18:33, Celio Silva
> >> >> <celiosidneisilva em gmail.com>**escreveu:
> >> >>
> >> >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade...
> >> >>>
> >> >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são liberados
> >> >>> (Diretoria: notebooks, celulares, etc...)
> >> >>>
> >> >>> A idéia é criar algumas regras _antes do firewall e independenteo do
> >> >>> DHCP_, que faça o seguinte:
> >> >>>
> >> >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso
> >> contrário
> >> >>> "drop" qualquer comunicação c/ Servidor...
> >> >>>
> >> >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac...
>  tanto
> >> os
> >> >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede...
> >> >>>
> >> >>> Quando qq usuário "engraçadinho" roubar o IP de outro equipamento...
> >> ele
> >> >>> nem conversará c/ o servidor...    /    podendo o servidor até
> >> >>> "denunciar"
> >> >>> que houve essa tentativa com data, hora e equipamento...
> >> >>>
> >> >>> Célio
> >> >>>
> >> >>> Em 23/12/2011 16:48, Roberval Sena escreveu:
> >> >>>
> >> >>>  Salve marcos,
> >> >>>
> >> >>>> Deixa eu fazer uma pergunta básica,
> >> >>>> Você disse que pelo iptables, amarrou um IP com um MAC,
> >> >>>> digamos um exemplo:  192.168.1.10 com MAC ca:ca:ca:ca:ca:ca
> >> >>>>
> >> >>>> E que se esse cliente troca de ip.. ele continua navegando! certo?
> >>  mas
> >> >>>> é
> >> >>>> claro, não deveria!
> >> >>>>
> >> >>>> Bom...
> >> >>>> Se as suas regras estiverem certas eu acho que deveria funcionar,
> >> pois
> >> >>>> comigo aqui via bem
> >> >>>>
> >> >>>> BOM 2...
> >> >>>> Minha pergunta é ..
> >> >>>> Suponha que essa estação trocou o IP para 192.168.1.11....
> >> >>>>
> >> >>>> AGORA,
> >> >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)?
> >> >>>> pq.. se não tiver regra ele(firewall) deixa passar....
> >> >>>>
> >> >>>> desculpe se a pergunta é boba.. só queria entender pra tentar
> >> ajudar...
> >> >>>>
> >> >>>> []s Sena
> >> >>>>
> >> >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma<
> marta.vuelma em gmail.com
> >> >**
> >> >>>> **
> >> >>>> escreveu:
> >> >>>>
> >> >>>>  Olá, Marcos.
> >> >>>>
> >> >>>>> Bem, então neste caso não tem como impedir que os usuários troquem
> >> o IP
> >> >>>>> das
> >> >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs
> que
> >> >>>>> podem
> >> >>>>> passar pelo firewall (e quais protocolos eles podem passar) e
> >> bloquear
> >> >>>>> todo
> >> >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar colocar
> >> o IP
> >> >>>>> de
> >> >>>>> outra máquina que está liberada.
> >> >>>>>
> >> >>>>> Um abraço.
> >> >>>>>
> >> >>>>> --
> >> >>>>> *Marta Vuelma*
> >> >>>>> Senior Level Linux Professional (LPIC-3 Core)
> >> >>>>> Novell Certified Linux Administrator (NCLA)
> >> >>>>> martavuelma.wordpress.com
> >> >>>>> @MartaVuelma
> >> >>>>>
> >> >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]<
> >> marcos em pb.senac.br
> >> >>>>>
> >> >>>>>  escreveu:
> >> >>>>>> Não trabalhamos com DHCP.
> >> >>>>>>
> >> >>>>>> É atribuição manual.
> >> >>>>>>
> >> >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma<
> >> marta.vuelma em gmail.com
> >> >>>>>>
> >> >>>>>>  escreveu:
> >> >>>>>>> Olá, Marcos.
> >> >>>>>>>
> >> >>>>>>> Para garantir que um determinado computador na rede receba
> sempre
> >> o
> >> >>>>>>>
> >> >>>>>>>  mesmo
> >> >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor DHCP.
> >> Uma
> >> >>>>>> vez
> >> >>>>>> feito isto, poderás, então configurar no firewall os privilégios
> >> para
> >> >>>>>> os
> >> >>>>>> respectivos IPs.
> >> >>>>>>
> >> >>>>>>> Lembrando que este tipo de controle que você está implementando,
> >> >>>>>>>
> >> >>>>>>>  dependendo
> >> >>>>>>
> >> >>>>>>  do número de hosts da sua rede pode ficar bem difícil de
> >> gerenciar.
> >> >>>>>>>
> >> >>>>>>> Um exemplo de reserva no dhcpd.conf é:
> >> >>>>>>>
> >> >>>>>>> host nome_da_maquina {
> >> >>>>>>> hardware ethernet 12:34:56:78:AB:CD;
> >> >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta máquina
> >> >>>>>>> }
> >> >>>>>>>
> >> >>>>>>> Espero ter ajudado.
> >> >>>>>>> Um abraço
> >> >>>>>>>
> >> >>>>>>> --
> >> >>>>>>> *Marta Vuelma*
> >> >>>>>>> Senior Level Linux Professional (LPIC-3 Core)
> >> >>>>>>> Novell Certified Linux Administrator (NCLA)
> >> >>>>>>> martavuelma.wordpress.com
> >> >>>>>>> @MartaVuelma
> >> >>>>>>>
> >> >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]<
> >> >>>>>>> marcos em pb.senac.br
> >> >>>>>>>
> >> >>>>>>>  escreveu:
> >> >>>>>>>> Ubunteiros,
> >> >>>>>>>>
> >> >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em desuso.
> >> >>>>>>>>
> >> >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que
> >> estão
> >> >>>>>>>> chegando...
> >> >>>>>>>>
> >> >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam
> tentando
> >> >>>>>>>>
> >> >>>>>>>>  trocar
> >> >>>>>>> os
> >> >>>>>>>
> >> >>>>>>>  IPs aleatoriamente
> >> >>>>>>>>
> >> >>>>>>>> para fugir das regras do firewall, já que alguns ips tem
> >> privilégio
> >> >>>>>>>>
> >> >>>>>>>>  na
> >> >>>>>>>
> >> >>>>>> rede.
> >> >>>>>>
> >> >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP... mas
> >> não
> >> >>>>>>>>
> >> >>>>>>>>  obtive
> >> >>>>>>>
> >> >>>>>>>  sucesso...
> >> >>>>>>>>
> >> >>>>>>>>
> >> >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa me
> >> >>>>>>>> mandar
> >> >>>>>>>>
> >> >>>>>>>>  um
> >> >>>>>>> passo-a-passo de como
> >> >>>>>>>
> >> >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em
> >> questão
> >> >>>>>>>>
> >> >>>>>>>>  que
> >> >>>>>>> recebeu o IP(1), se trocar o seu IP
> >> >>>>>>>
> >> >>>>>>>> para outro, ele deixe de navegar....
> >> >>>>>>>>
> >> >>>>>>>> Exemplo:
> >> >>>>>>>>
> >> >>>>>>>> Maquina1:
> >> >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício)
> >> >>>>>>>>
> >> >>>>>>>> Então no Firewall estaria cadastrado assim...
> >> >>>>>>>>
> >> >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina fique
> >> >>>>>>>>
> >> >>>>>>>>  bloqueada e
> >> >>>>>>>
> >> >>>>>>>  perca a conexão...
> >> >>>>>>>>
> >> >>>>>>>> Como fazer?
> >> >>>>>>>>
> >> >>>>>>>> Marcos
> >> >>>>>>>>
> >> >>>>>>>> --
> >> >>>>>>>> ------------------------------****-
> >> >>>>>>>> Marcos Túlio G S JR
> >> >>>>>>>> Setor de TI/SENAC/PB
> >> >>>>>>>>
> >> >>>>>>>
> >> > --
> >> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece<
> >> http://www.ubuntu-br.org/comece>
> >> >
> >> > Lista de discussão Ubuntu Brasil
> >> > Histórico, descadastramento e outras opções:
> >> > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br<
> >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br>
> >> >
> >> --
> >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >>
> >> Lista de discussão Ubuntu Brasil
> >> Histórico, descadastramento e outras opções:
> >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >>
> >
> >
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>



More information about the ubuntu-br mailing list