[GTER] RES: Off-topic? Blacklist mac-address na rede interna

Fri Apr 11 08:11:40 -03 2008

Como é realizada esta consulta ao servidor DHCP (linux para Windows
2003 R2) para saber se o ip é proveniente de um leasing ou não?

Em 09/04/08, Luiz Gaspar<luizgaspar at gmail.com> escreveu:
> Caro Marcio,
>
> O que fiz foi o seguinte, em um cliente que não possui switch com VLAN:
>
> Ambiente:
>
> 1. DHCP Server em W2003 Server R2;
> 2. DNS Server em W2003 Server R2;
> 3. Saída para mundo exterior (Internet) única, via Netscreen-25 Juniper;
> 4. Roteador Cisco para internet;
> 5. Antes do Netscreen existe um gateway Linux Debian, atuando como bridge e
> com o IPTABLES e regras do SQUID, de forma que TODO o tráfego para Internet
> passe por ele ANTES de chegar a interface de rede do Netscreen;
>
> Solução
> 1. Servidor DHCP (configurado para entrega/renovação de IP a cada 3 dias)
> possui TODOS os endereços IP disponíveis mapeados para interfaces cliente
> (os que não estão em uso, seguem como bloqueados, mas estão dentro da faixa
> utilizável, vou desbloqueando na medida em que preciso deles);
> 2. Coloquei um script no IPTABLES que nega conexão ao gateway de internet,
> se não houver a correspondência MAC x IP, definida no DHCP Server (ou seja,
> o indivíduo fica sem conexão, uma vez que não é entregue o IP para ele
> ;)...). Os endereços que não estão em uso, seguem como bloqueados também
> aqui no IPTABLES;
> 3. Se alguém "modificar" seu MAC address (o que é difícil, uma vez que as
> máquinas na rede são Windows e NÂO estão configuradas para trabalhar como
> administrador), o dono legítimo daquele IP também ficará com problemas de
> conexão... tipo um Notebook "alienígena", portanto!
>
> Bem, esta foi a solução devido ao baixo orçamento, mas lá existem mais de
> 100 máquinas...
>
> Abs,
>
> 2008/4/9 Marcio Merlone <marcio.merlone at a1.ind.br>:
>
> > Temos mais ou menos uma centena de máquinas na rede.
> >
> >
> > Luiz Gaspar escreveu:
> >
> > > Caro Marcio,
> > >
> > > Quantos IP´s a distribuir???
> > >
> > > 2008/4/8 Renato Frederick <frederick at dahype.org>:
> > >
> > >
> > >
> > > > Voce pode desligar a porta que ele esta conectado.
> > > >
> > > > Va em cada porta também e configure o MAC que pode associar a ela,
> > > > assim,
> > > > caso ele troque de ponto na parede, não conseguirá utilizar. O usuário
> > > > so
> > > > pode alterar o MAC no Windows se for administrador. Mas, se ele usar
> > > > um
> > > > outro OS e clonar o MAC, o usuário clonado não conseguirá usar
> > > > simultaneamente, daí você veririca na tabela arp quais portas estão
> > > > com os
> > > > mesmos MAC e identifica aonde foi feito o "gato".
> > > >
> > > > No futuro, talvez o 802.1x lhe ajude a garantir uma maior segurança na
> > > > rede
> > > >
> > > >
> > > >
> > > > > -----Mensagem original-----
> > > > > De: gter-bounces at eng.registro.br [mailto:
> > > > > gter-bounces at eng.registro.br]
> > > > > Em nome de Marcio Merlone
> > > > > Enviada em: terça-feira, 8 de abril de 2008 17:53
> > > > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > > > Assunto: [GTER] Off-topic? Blacklist mac-address na rede interna
> > > > >
> > > > > Olá,
> > > > >
> > > > > Primeiro a velha e lavada desculpa, não sei se esta é a melhor lista
> > > > > para enviar este tipo de questão, mas sei que aqui é onde tem quem
> > > > > pode
> > > > > me ajudar, portanto perdoem-me se isto for off-topic.
> > > > >
> > > > > Preciso banir um cliente de minha rede interna. Os ips são
> > > > > atribuidos
> > > > > por dhcpd em um servidor linux, tenho switchs gerenciáveis 3com 4200
> > > > > SuperStack, PDC Samba, mas não achei ainda *a* forma eficiente de
> > > > > bloqueá-lo. Já estou configurando o dhcpd.conf para aceitar somente
> > > > > os
> > > > > macs determinados, mas ainda assim ele pode configurar o ip
> > > > > manualmente
> > > > > ou spoofar o mac dele. Acho pouco provável que ele spoofe o mac,
> > > > > portanto acho que a melhor saída seria bloquear o mac dele no
> > > > > switch,
> > > > > mas não tenho a vaga idéia de como fazer, switches não são minha
> > > > > praia.
> > > > >
> > > > > Alguém pode me ajudar, mesmo que em pvt?
> > > > >
> > > > > Grato antecipadamente.
> > > > >
> > > > > --
> > > > > Marcio Merlone
> > > > >
> > > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > >
> > > >
> > >
> > >
> > >
> > >
> > >
> >
> >
> > --
> > Marcio Merlone
> > A1 Engenharia e Gerenciamento Ltda.
> > Fone: +55 41 3616-3796
> > Fax:  +55 41 3616-3617
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Luiz Gaspar de França dos Santos
> ---------------------------------------------------
> IT Director - Diretor de TI
> Quality Informática Ltda.
> ---------------------------------------------------
> Cellular/Cel.: +55-21-99657987
> Office/Escritório: +55-21-22457755/+55-21-35639357
>
> Address/Endereço: Rua Marquês de Abrantes, 172 - Bloco A - apto. 1204
> Flamengo
> Rio de Janeiro – RJ - Brasil
> CEP 22230061
>
> luizgaspar at gmail.com
> luizgaspar at iname.com
> luizgaspar at click21.com.br
>
> MSN:luizgaspar at iname.com <MSN%3Aluizgaspar at iname.com>
> Skype:luizgaspar_iname.com
>
> PGP Key Server: http://keyserver.veridis.com:11371/index.jsp
>
> ------------------------------------------------
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>