[GTER] segurança de acesso fisico na rede
Wagner Elias
wagner.elias at gmail.com
Mon Jun 15 23:05:50 -03 2009
Alexandre,
com a adoção do 802.1x você teria um controle de acesso a rede,
incluindo a conexão "física", pois uma máquina conectada, mesmo com
MAC Address Spoofado de uma máquina autorizada, não conseguiria se
autenticar na rede e ter conectividade com os outros ativos de rede.
Se você necessita de mais controles, estude as soluções de "Policies
Checking" como NAC[1] e NAP[2]. Uma opção open source para implementar
policie checking é o PacketFence[3].
1 - http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html
2 - http://technet.microsoft.com/en-us/network/bb545879.aspx
3 - http://www.packetfence.org/en/home.html
Abs.
--
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias
2009/6/15 Alexandre J. Correa - Onda Internet <alexandre at onda.psi.br>:
> Boa tarde !!
>
> Um cliente andou me questionando sobre acesso 'fisico' a rede dele, ele me
> explicou a seguinte situação:
>
> - Uma pessoa conecta um notebook em alguma tomada de rede, ele tem um dhcp
> na rede onde atribui ips automaticamente... esta maquina vai ficar fora do
> DOMINIO da rede sem acesso a documentos etc etc..
>
> a preocupação dele é NAO permitir aquela maquina de maneira alguma acessar
> nada, mesmo a pessoa colocando um ip manualmente...
>
> para este caso sugeri autenticação via 802.1x de todas as estações,
> incluindo o switch fazer a autenticação em um servidor central de chaves
> usando radius...
>
> existem outras possibilidades ?
>
> uma outra solução que ele me questionou foi: Existe uma maneira de filtrar
> quais macs podem conectar fisicamente naquelas portas ?
>
> resumindo, ele precisa permitir conexao fisica somente a maquinas
> autorizadas .. alguem conhece alguma solução ?
>
>
> obrigado !!
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
>
> Onda Internet
> www.onda.net.br
> IPV6 READY !
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list