[GTER] segurança de acesso fisico na rede
Alfredo Dal´Ava Júnior
alfredo.dalava at gmail.com
Thu Jun 18 09:15:00 -03 2009
Ja que é complicado dar muita segurança e já que a grande maioria dos
clientes não vai querer investir em switch, e além disso a comunicação entre
estações seja desprezivel, acrescento às opções dadas pelos colegas mais
estas duas:
1- Todas as máquinas com DHCP em um IP com roteamento pra lugar algum e
autenticando as estações através de alguma VPN qualquer.
2 - Remover TCP/IP e autenticar todo mundo via PPPoE.
A idéia é só dar acesso ao servidor (ou à "rede militarizada" hehe) quem
tiver um login/senha. Em cima disso ainda podem existir outras políticas
como controle por MAC, numero de sessões por login e também controle do
horário em que este login pode conectar.
Além disso, voce pode inverter os pinos da tomada e a estação só vai
comunicar se você tiver um cabo especial (com pinagem invertida) ehheheh ou
então bolar algum hardware para criptografia dos dados que passam no cabo e
no switch um outro que descriptografa (cable descrambler)..... ou até mesmo
criar um driver TCP/IP modificado pra dificultar o acesso......isso foi
viagem... mas a viagem com certeza depende do tamanho da paranóia, porque
não??
[]'s
Alfredo
2009/6/15 Alexandre J. Correa - Onda Internet <alexandre at onda.psi.br>
> Boa tarde !!
>
> Um cliente andou me questionando sobre acesso 'fisico' a rede dele, ele me
> explicou a seguinte situação:
>
> - Uma pessoa conecta um notebook em alguma tomada de rede, ele tem um dhcp
> na rede onde atribui ips automaticamente... esta maquina vai ficar fora do
> DOMINIO da rede sem acesso a documentos etc etc..
>
> a preocupação dele é NAO permitir aquela maquina de maneira alguma acessar
> nada, mesmo a pessoa colocando um ip manualmente...
>
> para este caso sugeri autenticação via 802.1x de todas as estações,
> incluindo o switch fazer a autenticação em um servidor central de chaves
> usando radius...
>
> existem outras possibilidades ?
>
> uma outra solução que ele me questionou foi: Existe uma maneira de filtrar
> quais macs podem conectar fisicamente naquelas portas ?
>
> resumindo, ele precisa permitir conexao fisica somente a maquinas
> autorizadas .. alguem conhece alguma solução ?
>
>
> obrigado !!
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
>
> Onda Internet
> www.onda.net.br
> IPV6 READY !
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list