[Ubuntu-BR] IP & MAC

Marcos Túlio [TI] marcos em pb.senac.br
Segunda Janeiro 2 13:45:39 UTC 2012 

Marlon Valério,

Como é que se libera pelo MAC ao invés do IP ?

Em 2 de janeiro de 2012 10:16, Marlon <yodatsi em gmail.com> escreveu:

> libera pelo mac ao inves do ip.... usuário AINDA não sabe trocar o mac :)
> --
>
> Marlon Valério
> ┌─────────────────┐
>  Problems, lots of Problems
> └─────────────────┘
>
>
>
> Em 24 de dezembro de 2011 00:45, Mauro Risonho de Paula Assumpção <
> mauro.risonho em gmail.com> escreveu:
>
> > Se alguem tiver a mesma chave CA quer dizer:
> >
> > - Um usuário emprestou a chave CA para outro.
> > - O outro usuário de algo forma copiou o CA.
> >
> > Nesse caso, cancela os dois CAs, ai o usuário vai lá para reclamar que o
> > workstation não está autenticando e voce adverte os dois e gera outro
> CA,.
> >
> >
> > Em 24 de dezembro de 2011 00:38, Mauro Risonho de Paula Assumpção <
> > mauro.risonho em gmail.com> escreveu:
> >
> > > As máquinas são Windows ou Linux, nas workstations?
> > >
> > > Coloca 802.1x com CA Certificado Digital, voce mesmo gera no
> > > server...antes que autenticar, sem a chave não rola e duas chaves
> iguais
> > > kill na segunda maquina
> > >
> > > Em 24 de dezembro de 2011 00:26, Roberval Sena <
> roberval.sena em gmail.com
> > >escreveu:
> > >
> > > Marcos, célio,
> > >>
> > >> Olha .. eu sempre tive muito sucesso em amarar IP com MAC pra
> controlar
> > >> usuários, pois nem todos tem  a "manha" de trocar o MAC de seus micros
> > ..
> > >> ainda mais pelo MAC justamente daquela máquina que tem acessos
> > >> privilegiados..
> > >>
> > >> ou seja IP tables amarrando IP com MAC dá um bom resultado sim. é só
> > >> colcoar regras pra toda a sua faixa de rede.
> > >>
> > >> Mas enfins, devez em quando  aparece um "artista" que consegue (não
> sei
> > se
> > >> por acaso) driblar regras..  rsrs
> > >> aí.. eu que sou o  gerente da rede, monitoro!
> > >> E pego o infrator...  faço relatório e mando pra diretoria...
> > >>
> > >> Como eu monitoro?
> > >> Tem várias ferramentas, e muita gente vai dar ótimas sugestões.
> > >> Eu mesmo fiz um script em ".BAT" mesmo (quando é windows) que vai
> > gravando
> > >> no servidor, a cada 5 min, o IP e MAC que eu atribui para aquele
> > cliente,
> > >> o
> > >> IP e MAC que ele está usando no momento.
> > >>
> > >> Simples, rápido, eficiente e funciona. Claro nenhum funcionário sabe
> > desse
> > >> "LOG" que montei em todas as estações... ele roda bem quietinho...
> > >>
> > >> Logo, é só deixar por um tempo... depois é só procurar discrepâncias!
> > >>
> > >>
> > >> []s Sena
> > >>
> > >>
> > >>
> > >>
> > >> Em 24 de dezembro de 2011 00:06, Celio Silva
> > >> <celiosidneisilva em gmail.com>escreveu:
> > >>
> > >> > Usuário é 1 bixo complicado...
> > >> >
> > >> > Eu não quero apelar para 1 Active Directory/GPO...    então, vamos
> > >> esperar
> > >> > uma luz...
> > >> >
> > >> > Célio
> > >> >
> > >> > Em 23/12/2011 21:13, Marcos Túlio [TI] escreveu:
> > >> >
> > >> >  É isso que quero...
> > >> >>
> > >> >> Quero pegar esse 'cara' que fica trocando o IP na minha rede para
> > >> >> prejudicar ou para se favorecer...
> > >> >>
> > >> >> Essa semana esse cara colocou o mesmo IP do servidor... parou a
> rede.
> > >> >>
> > >> >> Entende?
> > >> >>
> > >> >> Com alguma regra que diga que só navegue com o IP X e com o MAC Y,
> > >> mesmo
> > >> >> que ele troque de IP ou MAC não vai adiantar...
> > >> >>
> > >> >> É disto que estou atrás...
> > >> >>
> > >> >>
> > >> >> Em 23 de dezembro de 2011 18:33, Celio Silva
> > >> >> <celiosidneisilva em gmail.com>**escreveu:
> > >> >>
> > >> >>> Estou de olho aqui, pq tenho a mesma dúvida/necessidade...
> > >> >>>
> > >> >>> Tb utilizo IP fixo nas máquinas, e tenho alguns IP´s q são
> liberados
> > >> >>> (Diretoria: notebooks, celulares, etc...)
> > >> >>>
> > >> >>> A idéia é criar algumas regras _antes do firewall e independenteo
> do
> > >> >>> DHCP_, que faça o seguinte:
> > >> >>>
> > >> >>> A máquina é o mac "x"? e o IP é "x" tb, então continua... caso
> > >> contrário
> > >> >>> "drop" qualquer comunicação c/ Servidor...
> > >> >>>
> > >> >>> Nessa caso, teríamos que amarrar cada equipamento a 1 mac...
> >  tanto
> > >> os
> > >> >>> atuais, qto. qualquer outro "novo" mac q aparecer na rede...
> > >> >>>
> > >> >>> Quando qq usuário "engraçadinho" roubar o IP de outro
> equipamento...
> > >> ele
> > >> >>> nem conversará c/ o servidor...    /    podendo o servidor até
> > >> >>> "denunciar"
> > >> >>> que houve essa tentativa com data, hora e equipamento...
> > >> >>>
> > >> >>> Célio
> > >> >>>
> > >> >>> Em 23/12/2011 16:48, Roberval Sena escreveu:
> > >> >>>
> > >> >>>  Salve marcos,
> > >> >>>
> > >> >>>> Deixa eu fazer uma pergunta básica,
> > >> >>>> Você disse que pelo iptables, amarrou um IP com um MAC,
> > >> >>>> digamos um exemplo:  192.168.1.10 com MAC ca:ca:ca:ca:ca:ca
> > >> >>>>
> > >> >>>> E que se esse cliente troca de ip.. ele continua navegando!
> certo?
> > >>  mas
> > >> >>>> é
> > >> >>>> claro, não deveria!
> > >> >>>>
> > >> >>>> Bom...
> > >> >>>> Se as suas regras estiverem certas eu acho que deveria funcionar,
> > >> pois
> > >> >>>> comigo aqui via bem
> > >> >>>>
> > >> >>>> BOM 2...
> > >> >>>> Minha pergunta é ..
> > >> >>>> Suponha que essa estação trocou o IP para 192.168.1.11....
> > >> >>>>
> > >> >>>> AGORA,
> > >> >>>> no seu iptables.. como está a regra para esse IP (192.168.1.11)?
> > >> >>>> pq.. se não tiver regra ele(firewall) deixa passar....
> > >> >>>>
> > >> >>>> desculpe se a pergunta é boba.. só queria entender pra tentar
> > >> ajudar...
> > >> >>>>
> > >> >>>> []s Sena
> > >> >>>>
> > >> >>>> Em 23 de dezembro de 2011 16:25, Marta Vuelma<
> > marta.vuelma em gmail.com
> > >> >**
> > >> >>>> **
> > >> >>>> escreveu:
> > >> >>>>
> > >> >>>>  Olá, Marcos.
> > >> >>>>
> > >> >>>>> Bem, então neste caso não tem como impedir que os usuários
> troquem
> > >> o IP
> > >> >>>>> das
> > >> >>>>> suas máquinas. O máximo que podes fazer é liberar somente os IPs
> > que
> > >> >>>>> podem
> > >> >>>>> passar pelo firewall (e quais protocolos eles podem passar) e
> > >> bloquear
> > >> >>>>> todo
> > >> >>>>> o resto. Mas ainda assim, qualquer um pode chegar e tentar
> colocar
> > >> o IP
> > >> >>>>> de
> > >> >>>>> outra máquina que está liberada.
> > >> >>>>>
> > >> >>>>> Um abraço.
> > >> >>>>>
> > >> >>>>> --
> > >> >>>>> *Marta Vuelma*
> > >> >>>>> Senior Level Linux Professional (LPIC-3 Core)
> > >> >>>>> Novell Certified Linux Administrator (NCLA)
> > >> >>>>> martavuelma.wordpress.com
> > >> >>>>> @MartaVuelma
> > >> >>>>>
> > >> >>>>> Em 23 de dezembro de 2011 16:19, Marcos Túlio [TI]<
> > >> marcos em pb.senac.br
> > >> >>>>>
> > >> >>>>>  escreveu:
> > >> >>>>>> Não trabalhamos com DHCP.
> > >> >>>>>>
> > >> >>>>>> É atribuição manual.
> > >> >>>>>>
> > >> >>>>>> Em 23 de dezembro de 2011 13:52, Marta Vuelma<
> > >> marta.vuelma em gmail.com
> > >> >>>>>>
> > >> >>>>>>  escreveu:
> > >> >>>>>>> Olá, Marcos.
> > >> >>>>>>>
> > >> >>>>>>> Para garantir que um determinado computador na rede receba
> > sempre
> > >> o
> > >> >>>>>>>
> > >> >>>>>>>  mesmo
> > >> >>>>>> IP você deve trabalhar com Reservas de DHCP no teu servidor
> DHCP.
> > >> Uma
> > >> >>>>>> vez
> > >> >>>>>> feito isto, poderás, então configurar no firewall os
> privilégios
> > >> para
> > >> >>>>>> os
> > >> >>>>>> respectivos IPs.
> > >> >>>>>>
> > >> >>>>>>> Lembrando que este tipo de controle que você está
> implementando,
> > >> >>>>>>>
> > >> >>>>>>>  dependendo
> > >> >>>>>>
> > >> >>>>>>  do número de hosts da sua rede pode ficar bem difícil de
> > >> gerenciar.
> > >> >>>>>>>
> > >> >>>>>>> Um exemplo de reserva no dhcpd.conf é:
> > >> >>>>>>>
> > >> >>>>>>> host nome_da_maquina {
> > >> >>>>>>> hardware ethernet 12:34:56:78:AB:CD;
> > >> >>>>>>> fixed-address 1.2.3.4; //endereço IP reservado para esta
> máquina
> > >> >>>>>>> }
> > >> >>>>>>>
> > >> >>>>>>> Espero ter ajudado.
> > >> >>>>>>> Um abraço
> > >> >>>>>>>
> > >> >>>>>>> --
> > >> >>>>>>> *Marta Vuelma*
> > >> >>>>>>> Senior Level Linux Professional (LPIC-3 Core)
> > >> >>>>>>> Novell Certified Linux Administrator (NCLA)
> > >> >>>>>>> martavuelma.wordpress.com
> > >> >>>>>>> @MartaVuelma
> > >> >>>>>>>
> > >> >>>>>>> Em 23 de dezembro de 2011 14:40, Marcos Túlio [TI]<
> > >> >>>>>>> marcos em pb.senac.br
> > >> >>>>>>>
> > >> >>>>>>>  escreveu:
> > >> >>>>>>>> Ubunteiros,
> > >> >>>>>>>>
> > >> >>>>>>>> Fiz uma lista de IPS em uso na minha rede, e os IPS em
> desuso.
> > >> >>>>>>>>
> > >> >>>>>>>> Com isso eu consigo liberar apenas IPs novos as máquinas que
> > >> estão
> > >> >>>>>>>> chegando...
> > >> >>>>>>>>
> > >> >>>>>>>> Mas, estou enfrentando um dilema. Alguns usuários, ficam
> > tentando
> > >> >>>>>>>>
> > >> >>>>>>>>  trocar
> > >> >>>>>>> os
> > >> >>>>>>>
> > >> >>>>>>>  IPs aleatoriamente
> > >> >>>>>>>>
> > >> >>>>>>>> para fugir das regras do firewall, já que alguns ips tem
> > >> privilégio
> > >> >>>>>>>>
> > >> >>>>>>>>  na
> > >> >>>>>>>
> > >> >>>>>> rede.
> > >> >>>>>>
> > >> >>>>>>> Fiz uns testes com o IPTABLES, cadastrando o MAC a um IP...
> mas
> > >> não
> > >> >>>>>>>>
> > >> >>>>>>>>  obtive
> > >> >>>>>>>
> > >> >>>>>>>  sucesso...
> > >> >>>>>>>>
> > >> >>>>>>>>
> > >> >>>>>>>> Gostaria de saber algum caso de sucesso, e que alguém possa
> me
> > >> >>>>>>>> mandar
> > >> >>>>>>>>
> > >> >>>>>>>>  um
> > >> >>>>>>> passo-a-passo de como
> > >> >>>>>>>
> > >> >>>>>>>> fixar um determinado IP a um MAC, que se o usuário do MAC em
> > >> questão
> > >> >>>>>>>>
> > >> >>>>>>>>  que
> > >> >>>>>>> recebeu o IP(1), se trocar o seu IP
> > >> >>>>>>>
> > >> >>>>>>>> para outro, ele deixe de navegar....
> > >> >>>>>>>>
> > >> >>>>>>>> Exemplo:
> > >> >>>>>>>>
> > >> >>>>>>>> Maquina1:
> > >> >>>>>>>> IP: 192.168.1.47 MAC cadastrado 00:4c:4b:44:cc:00 (fictício)
> > >> >>>>>>>>
> > >> >>>>>>>> Então no Firewall estaria cadastrado assim...
> > >> >>>>>>>>
> > >> >>>>>>>> Se o usuário trocar seu IP para : 192.168.1.48, a máquina
> fique
> > >> >>>>>>>>
> > >> >>>>>>>>  bloqueada e
> > >> >>>>>>>
> > >> >>>>>>>  perca a conexão...
> > >> >>>>>>>>
> > >> >>>>>>>> Como fazer?
> > >> >>>>>>>>
> > >> >>>>>>>> Marcos
> > >> >>>>>>>>
> > >> >>>>>>>> --
> > >> >>>>>>>> ------------------------------****-
> > >> >>>>>>>> Marcos Túlio G S JR
> > >> >>>>>>>> Setor de TI/SENAC/PB
> > >> >>>>>>>>
> > >> >>>>>>>
> > >> > --
> > >> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/**comece
> <
> > >> http://www.ubuntu-br.org/comece>
> > >> >
> > >> > Lista de discussão Ubuntu Brasil
> > >> > Histórico, descadastramento e outras opções:
> > >> > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-br<
> > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br>
> > >> >
> > >> --
> > >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> > >>
> > >> Lista de discussão Ubuntu Brasil
> > >> Histórico, descadastramento e outras opções:
> > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> > >>
> > >
> > >
> > --
> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >
> > Lista de discussão Ubuntu Brasil
> > Histórico, descadastramento e outras opções:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>



-- 
-------------------------------
Marcos Túlio G S JR
Setor de TI/SENAC/PB

More information about the ubuntu-br mailing list