[MASOCH-L] Fixar IP por usuario

Lao DanTong danton at inexo.com.br
Thu Mar 27 22:54:00 -03 2008


On Thu, 27 Mar 2008, Gelson Dias Santos wrote:

>    Como ja comentaram, o Radius tem recursos nativos para fazer isso.
> Porém, eu chamaria a atenção para o fato de que segurança por endereço
> IP é uma furada completa. O que impede o usuário de alterar o IP de sua
> estação e  com isso usar os filtros/politicas/banda do vizinho?

e conceitualmente errado. considere uma máquina multi usuário (não 
precisa ser Unix, um windows-2000 com servidor de terminais serve), de 
quem é o endereço IP? ou vamos ter que criar n máquinas virtuais, uma para 
cada usuário, e cada uma com seu endereço IP? Como diria o sábio, uma 
coisa é uma coisa, outra coisa é outra coisa.

é importante resolver os problemas de cada camada da pilha de protocolos o 
mais possível dentro da própria camada. manter a ortogonalidade! então se 
quer controle de acesso à web por usuário, use um proxy com autenticação 
(p.ex. squid + squidguard) e alguma política adicional para impedir que se 
"navegue" sem passar pelo proxy (a minha favorita: nada de NAT!)

também considero um erro usar a base de dados de autenticação em domínio 
windows para autenticar no IEEE 802.1x. são dois contextos completamente 
diferentes. De fato, olhando somente a camada IP (ortogonalidade, gente!) 
lá sequer existe o conceito de domínio ou de usuário!

viva a ortogonalidade, abaixo a gambiarra!




More information about the masoch-l mailing list