[MASOCH-L] RES: Fixar IP por usuario
Renato Frederick
frederick at dahype.org
Fri Mar 28 07:14:52 BRT 2008
Creio que o ideal, seguindo os conceitos citados pelo Lao seria autenticar o
PC via um certificado, usando ipsec, O que garantirá que um "meliante" não
use o seu notebook fora dos padrões da empresa e o conecte na rede e depois
autenticação de usuário para garantir o acesso aos serviços da rede.
Aí sim pode ser usado radius.
Mas realmente, ter uma estação eu muda de IP a todo momento é meio estranho,
imagine o DNS, vai ficar poluído com entradas antigas, a resolução de nomes
para utilizar recursos vai ficar confusa.
Pode-se usar como já foi falado 802.1x junto ao switch para garantir a
confiabilidade da estação.
Mas realmente é importante fazer a distinção de usuário/máquina seguindo o
modelo OSI, senão fica muito confuso.
A bem da verdade, a questão seria, o que você precisa controlar ou auditar
que tem que ser feito pelo IP e não pelo nome de usuário? Acesso a web pode
ser feito pelo squid/ISA integrado ao AD, acesso a arquivos pode ser usada
auditoria na Police do AD. E por ai vai.
> -----Mensagem original-----
> De: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
> bounces at eng.registro.br] Em nome de Lao DanTong
> Enviada em: quinta-feira, 27 de março de 2008 22:54
> Para: gelson.santos at metaverse.com.br; Mail Aid and Succor, On-line
> Comfort and Help
> Assunto: Re: [MASOCH-L] Fixar IP por usuario
>
> On Thu, 27 Mar 2008, Gelson Dias Santos wrote:
>
> > Como ja comentaram, o Radius tem recursos nativos para fazer isso.
> > Porém, eu chamaria a atenção para o fato de que segurança por
> endereço
> > IP é uma furada completa. O que impede o usuário de alterar o IP de
> sua
> > estação e com isso usar os filtros/politicas/banda do vizinho?
>
> e conceitualmente errado. considere uma máquina multi usuário (não
> precisa ser Unix, um windows-2000 com servidor de terminais serve), de
> quem é o endereço IP? ou vamos ter que criar n máquinas virtuais, uma
> para
> cada usuário, e cada uma com seu endereço IP? Como diria o sábio, uma
> coisa é uma coisa, outra coisa é outra coisa.
>
> é importante resolver os problemas de cada camada da pilha de
> protocolos o
> mais possível dentro da própria camada. manter a ortogonalidade! então
> se
> quer controle de acesso à web por usuário, use um proxy com
> autenticação
> (p.ex. squid + squidguard) e alguma política adicional para impedir que
> se
> "navegue" sem passar pelo proxy (a minha favorita: nada de NAT!)
>
> também considero um erro usar a base de dados de autenticação em
> domínio
> windows para autenticar no IEEE 802.1x. são dois contextos
> completamente
> diferentes. De fato, olhando somente a camada IP (ortogonalidade,
> gente!)
> lá sequer existe o conceito de domínio ou de usuário!
>
> viva a ortogonalidade, abaixo a gambiarra!
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list