[MASOCH-L] Fixar IP por usuario
Lao DanTong
danton at inexo.com.br
Thu Mar 27 22:54:00 -03 2008
On Thu, 27 Mar 2008, Gelson Dias Santos wrote:
> Como ja comentaram, o Radius tem recursos nativos para fazer isso.
> Porém, eu chamaria a atenção para o fato de que segurança por endereço
> IP é uma furada completa. O que impede o usuário de alterar o IP de sua
> estação e com isso usar os filtros/politicas/banda do vizinho?
e conceitualmente errado. considere uma máquina multi usuário (não
precisa ser Unix, um windows-2000 com servidor de terminais serve), de
quem é o endereço IP? ou vamos ter que criar n máquinas virtuais, uma para
cada usuário, e cada uma com seu endereço IP? Como diria o sábio, uma
coisa é uma coisa, outra coisa é outra coisa.
é importante resolver os problemas de cada camada da pilha de protocolos o
mais possível dentro da própria camada. manter a ortogonalidade! então se
quer controle de acesso à web por usuário, use um proxy com autenticação
(p.ex. squid + squidguard) e alguma política adicional para impedir que se
"navegue" sem passar pelo proxy (a minha favorita: nada de NAT!)
também considero um erro usar a base de dados de autenticação em domínio
windows para autenticar no IEEE 802.1x. são dois contextos completamente
diferentes. De fato, olhando somente a camada IP (ortogonalidade, gente!)
lá sequer existe o conceito de domínio ou de usuário!
viva a ortogonalidade, abaixo a gambiarra!
More information about the masoch-l
mailing list