[GTER] RES: Off-topic? Blacklist mac-address na rede interna

Luiz Gaspar luizgaspar at gmail.com
Wed Apr 9 11:49:15 -03 2008 

Caro Marcio,

O que fiz foi o seguinte, em um cliente que não possui switch com VLAN:

Ambiente:

1. DHCP Server em W2003 Server R2;
2. DNS Server em W2003 Server R2;
3. Saída para mundo exterior (Internet) única, via Netscreen-25 Juniper;
4. Roteador Cisco para internet;
5. Antes do Netscreen existe um gateway Linux Debian, atuando como bridge e
com o IPTABLES e regras do SQUID, de forma que TODO o tráfego para Internet
passe por ele ANTES de chegar a interface de rede do Netscreen;

Solução
1. Servidor DHCP (configurado para entrega/renovação de IP a cada 3 dias)
possui TODOS os endereços IP disponíveis mapeados para interfaces cliente
(os que não estão em uso, seguem como bloqueados, mas estão dentro da faixa
utilizável, vou desbloqueando na medida em que preciso deles);
2. Coloquei um script no IPTABLES que nega conexão ao gateway de internet,
se não houver a correspondência MAC x IP, definida no DHCP Server (ou seja,
o indivíduo fica sem conexão, uma vez que não é entregue o IP para ele
;)...). Os endereços que não estão em uso, seguem como bloqueados também
aqui no IPTABLES;
3. Se alguém "modificar" seu MAC address (o que é difícil, uma vez que as
máquinas na rede são Windows e NÂO estão configuradas para trabalhar como
administrador), o dono legítimo daquele IP também ficará com problemas de
conexão... tipo um Notebook "alienígena", portanto!

Bem, esta foi a solução devido ao baixo orçamento, mas lá existem mais de
100 máquinas...

Abs,

2008/4/9 Marcio Merlone <marcio.merlone at a1.ind.br>:

> Temos mais ou menos uma centena de máquinas na rede.
>
>
> Luiz Gaspar escreveu:
>
> > Caro Marcio,
> >
> > Quantos IP´s a distribuir???
> >
> > 2008/4/8 Renato Frederick <frederick at dahype.org>:
> >
> >
> >
> > > Voce pode desligar a porta que ele esta conectado.
> > >
> > > Va em cada porta também e configure o MAC que pode associar a ela,
> > > assim,
> > > caso ele troque de ponto na parede, não conseguirá utilizar. O usuário
> > > so
> > > pode alterar o MAC no Windows se for administrador. Mas, se ele usar
> > > um
> > > outro OS e clonar o MAC, o usuário clonado não conseguirá usar
> > > simultaneamente, daí você veririca na tabela arp quais portas estão
> > > com os
> > > mesmos MAC e identifica aonde foi feito o "gato".
> > >
> > > No futuro, talvez o 802.1x lhe ajude a garantir uma maior segurança na
> > > rede
> > >
> > >
> > >
> > > > -----Mensagem original-----
> > > > De: gter-bounces at eng.registro.br [mailto:
> > > > gter-bounces at eng.registro.br]
> > > > Em nome de Marcio Merlone
> > > > Enviada em: terça-feira, 8 de abril de 2008 17:53
> > > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > > Assunto: [GTER] Off-topic? Blacklist mac-address na rede interna
> > > >
> > > > Olá,
> > > >
> > > > Primeiro a velha e lavada desculpa, não sei se esta é a melhor lista
> > > > para enviar este tipo de questão, mas sei que aqui é onde tem quem
> > > > pode
> > > > me ajudar, portanto perdoem-me se isto for off-topic.
> > > >
> > > > Preciso banir um cliente de minha rede interna. Os ips são
> > > > atribuidos
> > > > por dhcpd em um servidor linux, tenho switchs gerenciáveis 3com 4200
> > > > SuperStack, PDC Samba, mas não achei ainda *a* forma eficiente de
> > > > bloqueá-lo. Já estou configurando o dhcpd.conf para aceitar somente
> > > > os
> > > > macs determinados, mas ainda assim ele pode configurar o ip
> > > > manualmente
> > > > ou spoofar o mac dele. Acho pouco provável que ele spoofe o mac,
> > > > portanto acho que a melhor saída seria bloquear o mac dele no
> > > > switch,
> > > > mas não tenho a vaga idéia de como fazer, switches não são minha
> > > > praia.
> > > >
> > > > Alguém pode me ajudar, mesmo que em pvt?
> > > >
> > > > Grato antecipadamente.
> > > >
> > > > --
> > > > Marcio Merlone
> > > >
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > >
> > >
> >
> >
> >
> >
> >
>
>
> --
> Marcio Merlone
> A1 Engenharia e Gerenciamento Ltda.
> Fone: +55 41 3616-3796
> Fax:  +55 41 3616-3617
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Luiz Gaspar de França dos Santos
---------------------------------------------------
IT Director - Diretor de TI
Quality Informática Ltda.
---------------------------------------------------
Cellular/Cel.: +55-21-99657987
Office/Escritório: +55-21-22457755/+55-21-35639357

Address/Endereço: Rua Marquês de Abrantes, 172 - Bloco A - apto. 1204
Flamengo
Rio de Janeiro – RJ - Brasil
CEP 22230061

luizgaspar at gmail.com
luizgaspar at iname.com
luizgaspar at click21.com.br

MSN:luizgaspar at iname.com <MSN%3Aluizgaspar at iname.com>
Skype:luizgaspar_iname.com

PGP Key Server: http://keyserver.veridis.com:11371/index.jsp

------------------------------------------------

More information about the gter mailing list