[GTER] RES: seguran?a de acesso fisico na rede
Jean Tomaz
jeansilva at mmcb.com.br
Wed Jun 17 15:30:48 -03 2009
Eu recomendaria usar NAP, pois os agentes jah sao nativos nas estacoes que
sao Windows XP SP3 e Vista. Nao necessita instalar e podem ser ativados via
Active Directory. Lembrando que a melhor solucao eh 802.1x com Vlans
dinamicas(RFC 3580), onde seria criado uma vlan de isolamento para as
maquinas que nao pertecem ao meu Dominio( ex: terceiros ) e uma vlan para os
usuarios.
As politicas devem ser da seguinte forma no servidor Radius, no caso do NAP,
o Network Policy Server do Windows 2008.
1 - A estacao nao possui agente ( not-compliant ) então vai para vlan de
isolamento.
2 - A estacao possui agente , mas o antivirus nao funciona ,então vai para
vlan de isolamento.
3 - A estacao possui agente, o antivirus esta funcionando e o usuario
pertence ao grupo ( RH,Engenharia,etc ) do meu Dominio Windows, entao vai
para vlan de usuarios.
Dessa forma eh possivel controlador acesso ao meio fisico.
Na vlan de isolamento eh aplicado Access-list ( ex: any any deny icmp )
dessa forma mesmo que coloque ip fixo o terceiro nao tera acesso.
Atencisoamente,
Jean Tomaz
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de gter-request at eng.registro.br
Enviada em: quarta-feira, 17 de junho de 2009 12:00
Para: gter at eng.registro.br
Assunto: gter Digest, Vol 75, Issue 57
Send gter mailing list submissions to
gter at eng.registro.br
To subscribe or unsubscribe via the World Wide Web, visit
https://eng.registro.br/mailman/listinfo/gter
or, via email, send a message with subject or body 'help' to
gter-request at eng.registro.br
You can reach the person managing the list at
gter-owner at eng.registro.br
When replying, please edit your Subject line so it is more specific
than "Re: Contents of gter digest..."
Today's Topics:
1. Re: seguran?a de acesso fisico na rede (MARLON BORBA)
2. Re: MTU x Telefonica (Raphael Costa)
3. Banda larga clandestina substitui lan houses na periferia de
SP (Edinilson - ATINET)
----------------------------------------------------------------------
Message: 1
Date: Tue, 16 Jun 2009 13:26:12 -0300
From: "MARLON BORBA" <MBORBA at trf3.jus.br>
Subject: Re: [GTER] seguran?a de acesso fisico na rede
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>, "Itamar Reis Peixoto"
<itamar at ispbrasil.com.br>
Message-ID: <4A379D74.15A6.0046.0 at trf3.jus.br>
Content-Type: text/plain; charset=Windows-1252
..e compat?veis com autentica??o 802.1x.
Uma solu??o tamb?m seria o uso de NAC, mas isso ? bem complexo, depende
de agentes nas esta??es, pol?ticas de "compliance" internas...
--
Abra?os,
Marlon Borba, CISSP, APC DataCenter Associate
T?cnico Judici?rio ? Seguran?a da Informa??o
Comiss?o Local de Resposta a Incidentes - CLRI
TRF 3 Regi?o
(11) 3012-1581
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--
Em 15/6/2009 ?s 15:58, Itamar Reis Peixoto <itamar at ispbrasil.com.br>
gravou:
> basicamente e' isto.
>
>
> aconselho tamb?m que ele troque todos os seus switch's por swiches
> gerenciaveis
>
>
> 2009/6/15 Alexandre J. Correa - Onda Internet
<alexandre at onda.psi.br>:
>> Boa tarde !!
>>
>> Um cliente andou me questionando sobre acesso 'fisico' a rede dele,
ele me
>> explicou a seguinte situa??o:
>>
>> - Uma pessoa conecta um notebook em alguma tomada de rede, ele tem
um dhcp
>> na rede onde atribui ips automaticamente... esta maquina vai ficar
fora do
>> DOMINIO da rede sem acesso a documentos etc etc..
>>
>> a preocupa??o dele ? NAO permitir aquela maquina de maneira alguma
acessar
>> nada, mesmo a pessoa colocando um ip manualmente...
>>
>> para este caso sugeri autentica??o via 802.1x de todas as esta??es,
>> incluindo o switch fazer a autentica??o em um servidor central de
chaves
>> usando radius...
>>
>> existem outras possibilidades ?
>>
>> uma outra solu??o que ele me questionou foi: Existe uma maneira de
filtrar
>> quais macs podem conectar fisicamente naquelas portas ?
>>
>> resumindo, ele precisa permitir conexao fisica somente a maquinas
>> autorizadas .. alguem conhece alguma solu??o ?
>>
>>
>> obrigado !!
>>
>> --
>> Sds.
>>
>> Alexandre Jeronimo Correa
>>
>> Onda Internet
>> www.onda.net.br
>> IPV6 READY !
>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
------------------------------
Message: 2
Date: Tue, 16 Jun 2009 16:48:17 -0300
From: Raphael Costa <raphaelbscosta at gmail.com>
Subject: Re: [GTER] MTU x Telefonica
To: Grupo de Trabalho de Engenharia e Operacao de Redes
<gter at eng.registro.br>
Message-ID: <1245181697.13436.17.camel at inuyasha>
Content-Type: text/plain; charset="UTF-8"
Entramos em um loop infinito aqui:
1 - Reclamamos.
2 - Telefonica diz que n?o encontrou nada e sobe para a TIWS.
3 - TIWS diz que nao encontrou nada.
4 - Telefonica liga informando que a TIWS mexeu em algo (famoso
roteador de Santos) e pede para testar.
5 - Tudo funciona por umas horas e o problema volta a ocorrer.
6 - Voltamos ao item #1. :-)
On Mon, 2009-06-15 at 09:20 -0300, Felipe Rayel wrote:
> Ser? que alguem aqui est? tendo o mesmo problema que eu?
> Faz um semana que usu?rios na rede telef?nica n?o conseguem baixar
> e-mail ou acessar o site do meu servidor. O outlook come?a a baixar os
> e-mails e trava. Igual como se o MTU n?o estivesse correto. Ja pedi para
> realizarem o teste com o telnet na porta 110 e ocorre o mesmo problema.
>
> O mais estranho ? que notei que isso ocorre apenas em conex?es TCP. O
> voip que ? via UDP funciona normalmente.
>
> J? tentamos ligar na telefonica, s? que o checklist padr?o dos
> atendentes n?o detecta este problema, pois eles conseguem navegar
> normalmente. O problema s? ocorre com o meu servidor. J? descartei a
> hip?tese de ser problema aqui, pois os demais clientes na BRtelecom,
> etc, n?o tem tido este problema.
>
> Para fazer um teste, eu modifquei o MTU de um cliente e deixei fixo em
> 1350.. Curiosamente passou a funcionar tudo.
>
> Alguem sabe como posso solucionar isso ou tentar entrar em contato com a
> Telefonica? Visto que pelo 0800 n?o consegui.
>
> Segue um traceroute de um cliente at? o meu servidor
>
> 1 192.168.254.254 (192.168.254.254) 0.334 ms 0.290 ms 0.278 ms
> 2 192.168.32.1 (192.168.32.1) 51.917 ms 30.002 ms 30.801 ms
> 3 201-0-4-65.dsl.telesp.net.br (201.0.4.65) 29.254 ms * *
> 4 pos13-3-vlm-sp-rotb-01.telemar.net.br (200.187.130.25) 200.104 ms
> 211.082 ms 208.803 ms
> 5 200.223.44.1 (200.223.44.1) 197.610 ms 203.722 ms 201.464 ms
> 6 pos3-0-0-vlm-sp-rotn-h01.telemar.net.br (201.18.246.6) 208.188 ms
> 207.880 ms 208.880 ms
> 7 pos4-0-0-vlo-sp-rotn-h01.telemar.net.br (201.18.249.106) 209.118
> ms 210.797 ms 212.841 ms
> 8 pos5-0-0-mpi-mg-rotn-h01.telemar.net.br (201.18.246.58) 184.772 ms
> 187.203 ms 193.537 ms
> 9 gigabitethernet1-0-0-mpi-mg-rotd-h01.telemar.net.br
> (201.18.252.110) 183.577 ms 211.051 ms 182.280 ms
> 10 gigabitethernet0-0-0-mpi-mg-rota-h01.telemar.net.br
> (201.18.251.196) 178.779 ms 181.512 ms 179.809 ms
> 11 20118020002.host.telemar.net.br (201.18.20.2) 224.655 ms 312.999
> ms 308.261 ms
> 12 gelo.fertimitsui.com.br (201.18.21.3) 209.396 ms 199.956 ms
> 201.248 ms
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
------------------------------
Message: 3
Date: Wed, 17 Jun 2009 10:44:24 -0300
From: "Edinilson - ATINET" <edinilson at atinet.com.br>
Subject: [GTER] Banda larga clandestina substitui lan houses na
periferia de SP
To: <wirelessbr at yahoogrupos.com.br>, "Grupo de Trabalho de Engenharia
e Operacao de Redes" <gter at eng.registro.br>,
<provedores-brasil at yahoogrupos.com.br>
Message-ID: <D89E085C0B924B08A6C6A678B09A2A7F at atinet.com.br>
Content-Type: text/plain; charset="iso-8859-1"
http://g1.globo.com/Noticias/SaoPaulo/0,,MUL1190644-5605,00-BANDA+LARGA+CLAN
DESTINA+SUBSTITUI+LAN+HOUSES+NA+PERIFERIA+DE+SP.html
------------------------------
--
gter digest list https://eng.registro.br/mailman/listinfo/gter
End of gter Digest, Vol 75, Issue 57
************************************
More information about the gter
mailing list