[GTER] RES: seguran?a de acesso fisico na rede

Jean Tomaz jeansilva em mmcb.com.br
Quarta Junho 17 15:30:48 BRT 2009



Eu recomendaria usar NAP, pois os agentes jah sao nativos nas estacoes que
sao Windows XP SP3 e Vista. Nao necessita instalar e podem ser ativados via
Active Directory. Lembrando que a melhor solucao eh 802.1x com Vlans
dinamicas(RFC 3580), onde seria criado uma vlan de isolamento para as
maquinas que nao pertecem ao meu Dominio( ex: terceiros ) e uma vlan para os
usuarios.

As politicas devem ser da seguinte forma no servidor Radius, no caso do NAP,
o Network Policy Server do Windows 2008.

1 - A estacao nao possui agente ( not-compliant ) então vai para vlan de
isolamento.
2 - A estacao possui agente , mas o antivirus nao funciona ,então vai para
vlan de isolamento.
3 - A estacao possui agente, o antivirus esta funcionando e o usuario
pertence ao grupo ( RH,Engenharia,etc ) do meu Dominio Windows, entao vai
para vlan de usuarios.

Dessa forma eh possivel controlador acesso ao meio fisico.

Na vlan de isolamento eh aplicado Access-list ( ex: any any deny icmp )
dessa forma mesmo que coloque ip fixo o terceiro nao tera acesso.

Atencisoamente,

Jean Tomaz

 

-----Mensagem original-----
De: gter-bounces em eng.registro.br [mailto:gter-bounces em eng.registro.br] Em
nome de gter-request em eng.registro.br
Enviada em: quarta-feira, 17 de junho de 2009 12:00
Para: gter em eng.registro.br
Assunto: gter Digest, Vol 75, Issue 57

Send gter mailing list submissions to
	gter em eng.registro.br

To subscribe or unsubscribe via the World Wide Web, visit
	https://eng.registro.br/mailman/listinfo/gter
or, via email, send a message with subject or body 'help' to
	gter-request em eng.registro.br

You can reach the person managing the list at
	gter-owner em eng.registro.br

When replying, please edit your Subject line so it is more specific
than "Re: Contents of gter digest..."


Today's Topics:

   1. Re: seguran?a de acesso fisico na rede (MARLON BORBA)
   2. Re: MTU x Telefonica (Raphael Costa)
   3. Banda larga clandestina substitui lan houses na periferia de
      SP (Edinilson - ATINET)


----------------------------------------------------------------------

Message: 1
Date: Tue, 16 Jun 2009 13:26:12 -0300
From: "MARLON BORBA" <MBORBA em trf3.jus.br>
Subject: Re: [GTER] seguran?a de acesso fisico na rede
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
	<gter em eng.registro.br>, "Itamar Reis Peixoto"
	<itamar em ispbrasil.com.br>
Message-ID: <4A379D74.15A6.0046.0 em trf3.jus.br>
Content-Type: text/plain; charset=Windows-1252

..e compat?veis com autentica??o 802.1x.

Uma solu??o tamb?m seria o uso de NAC, mas isso ? bem complexo, depende
de agentes nas esta??es, pol?ticas de "compliance" internas... 


-- 

Abra?os,

Marlon Borba, CISSP, APC DataCenter Associate
T?cnico Judici?rio ? Seguran?a da Informa??o
Comiss?o Local de Resposta a Incidentes - CLRI
TRF 3 Regi?o
(11) 3012-1581
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--


Em 15/6/2009 ?s 15:58, Itamar Reis Peixoto <itamar em ispbrasil.com.br>
gravou:

> basicamente e' isto.
> 
> 
> aconselho tamb?m  que ele troque todos os seus switch's por swiches
> gerenciaveis
> 
> 
> 2009/6/15 Alexandre J. Correa - Onda Internet
<alexandre em onda.psi.br>:
>> Boa tarde !!
>>
>> Um cliente andou me questionando sobre acesso 'fisico' a rede dele,
ele me
>> explicou a seguinte situa??o:
>>
>> - Uma pessoa conecta um notebook em alguma tomada de rede, ele tem
um dhcp
>> na rede onde atribui ips automaticamente... esta maquina vai ficar
fora do
>> DOMINIO da rede sem acesso a documentos etc etc..
>>
>> a preocupa??o dele ? NAO permitir aquela maquina de maneira alguma
acessar
>> nada, mesmo a pessoa colocando um ip manualmente...
>>
>> para este caso sugeri autentica??o via 802.1x de todas as esta??es,
>> incluindo o switch fazer a autentica??o em um servidor central de
chaves
>> usando radius...
>>
>> existem outras possibilidades ?
>>
>> uma outra solu??o que ele me questionou foi: Existe uma maneira de
filtrar
>> quais macs podem conectar fisicamente naquelas portas ?
>>
>> resumindo, ele precisa permitir conexao fisica somente a maquinas
>> autorizadas .. alguem conhece alguma solu??o ?
>>
>>
>> obrigado !!
>>
>> --
>> Sds.
>>
>> Alexandre Jeronimo Correa
>>
>> Onda Internet
>> www.onda.net.br 
>> IPV6 READY !
>>
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter 
>>
> 
> 


------------------------------

Message: 2
Date: Tue, 16 Jun 2009 16:48:17 -0300
From: Raphael Costa <raphaelbscosta em gmail.com>
Subject: Re: [GTER] MTU x Telefonica
To: Grupo de Trabalho de Engenharia e Operacao de Redes
	<gter em eng.registro.br>
Message-ID: <1245181697.13436.17.camel em inuyasha>
Content-Type: text/plain; charset="UTF-8"

Entramos em um loop infinito aqui:

1 - Reclamamos.
2 - Telefonica diz que n?o encontrou nada e sobe para a TIWS.
3 - TIWS diz que nao encontrou nada.
4 -  Telefonica liga informando que a TIWS mexeu em algo (famoso
roteador de Santos) e pede para testar.
5 - Tudo funciona por umas horas e o problema volta a ocorrer.
6 - Voltamos ao item #1. :-)



On Mon, 2009-06-15 at 09:20 -0300, Felipe Rayel wrote:

> Ser? que alguem aqui est? tendo o mesmo problema que eu?
> Faz um semana que usu?rios na rede telef?nica n?o conseguem baixar 
> e-mail ou acessar o site do meu servidor. O outlook come?a a baixar os 
> e-mails e trava. Igual como se o MTU n?o estivesse correto. Ja pedi para 
> realizarem o teste com o telnet na porta 110 e ocorre o mesmo problema.
> 
> O mais estranho ? que notei que isso ocorre apenas em conex?es TCP. O 
> voip que ? via UDP funciona normalmente.
> 
> J? tentamos ligar na telefonica, s? que o checklist padr?o dos 
> atendentes n?o detecta este problema, pois eles conseguem navegar 
> normalmente. O problema s? ocorre com o meu servidor. J? descartei a 
> hip?tese de ser problema aqui, pois os demais clientes na BRtelecom, 
> etc,  n?o tem tido este problema.
> 
> Para fazer um teste, eu modifquei o MTU  de um cliente e deixei fixo em 
> 1350.. Curiosamente passou a funcionar tudo.
> 
> Alguem sabe como posso solucionar isso ou tentar entrar em contato com a 
> Telefonica? Visto que pelo 0800 n?o consegui.
> 
> Segue um traceroute de um cliente at? o meu servidor
> 
>  1  192.168.254.254 (192.168.254.254)  0.334 ms  0.290 ms  0.278 ms
>  2  192.168.32.1 (192.168.32.1)  51.917 ms  30.002 ms  30.801 ms
>  3  201-0-4-65.dsl.telesp.net.br (201.0.4.65)  29.254 ms * *
>  4  pos13-3-vlm-sp-rotb-01.telemar.net.br (200.187.130.25)  200.104 ms  
> 211.082 ms  208.803 ms
>  5  200.223.44.1 (200.223.44.1)  197.610 ms  203.722 ms  201.464 ms
>  6  pos3-0-0-vlm-sp-rotn-h01.telemar.net.br (201.18.246.6)  208.188 ms  
> 207.880 ms  208.880 ms
>  7  pos4-0-0-vlo-sp-rotn-h01.telemar.net.br (201.18.249.106)  209.118 
> ms  210.797 ms  212.841 ms
>  8  pos5-0-0-mpi-mg-rotn-h01.telemar.net.br (201.18.246.58)  184.772 ms  
> 187.203 ms  193.537 ms
>  9  gigabitethernet1-0-0-mpi-mg-rotd-h01.telemar.net.br 
> (201.18.252.110)  183.577 ms  211.051 ms  182.280 ms
> 10  gigabitethernet0-0-0-mpi-mg-rota-h01.telemar.net.br 
> (201.18.251.196)  178.779 ms  181.512 ms  179.809 ms
> 11  20118020002.host.telemar.net.br (201.18.20.2)  224.655 ms  312.999 
> ms  308.261 ms
> 12  gelo.fertimitsui.com.br (201.18.21.3)  209.396 ms  199.956 ms  
> 201.248 ms
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


------------------------------

Message: 3
Date: Wed, 17 Jun 2009 10:44:24 -0300
From: "Edinilson - ATINET" <edinilson em atinet.com.br>
Subject: [GTER] Banda larga clandestina substitui lan houses na
	periferia de	SP
To: <wirelessbr em yahoogrupos.com.br>,	"Grupo de Trabalho de Engenharia
	e Operacao de Redes"	<gter em eng.registro.br>,
	<provedores-brasil em yahoogrupos.com.br>
Message-ID: <D89E085C0B924B08A6C6A678B09A2A7F em atinet.com.br>
Content-Type: text/plain;	charset="iso-8859-1"

http://g1.globo.com/Noticias/SaoPaulo/0,,MUL1190644-5605,00-BANDA+LARGA+CLAN
DESTINA+SUBSTITUI+LAN+HOUSES+NA+PERIFERIA+DE+SP.html




------------------------------

--
gter digest list    https://eng.registro.br/mailman/listinfo/gter

End of gter Digest, Vol 75, Issue 57
************************************




More information about the gter mailing list