[MASOCH-L] Filtro por MAC ADDRESS
João Lyma
lyma at itsbrasil.net
Wed Aug 28 17:53:17 BRT 2013
Pelo visto a saída mais elegante seria autenticar cada cliente com
certificados digitais usando 802.1x ou, como Riley sugeriu, usar uma
combinação de IPSec+ 802.1x .
João Lima - Lyma
Analista de Redes e Segurança
MTCNA, MTCRE, MTCINE, JNCIA-EX, JNCIS-ER
Em 28/08/2013 17:40, Naira Kaieski escreveu:
> Oi,
>
> Sim se o usuário setar um IP manualmente que coincida com o Pool ele
> irá acessar a rede do Pool normalmente, se ele clonar um MAC também
> irá ocorrer a mesma coisa.
> Esta configuração pega usuários básicos, dá para complicar a vida do
> usuário que chuta um IP com subredes, mas é trabalhoso e pouco eficiente.
> Filtrar no switch, ainda está suscetível ao usuário clonar um MAC...
> enfim é complexo.
>
> Atenciosamente,
> Naira Kaieski
>
> Em 28/08/2013 17:35, Samir Patrice escreveu:
>>
>> E se o usuário setar IP manualmente da mesma faixa do pool? Ela não
>> navega e nem tem acesso aos recursos da rede?
>>
>> Em 28/08/2013 17:32, "Naira Kaieski" <naira at faccat.br
>> <mailto:naira at faccat.br>> escreveu:
>>
>> Boa tarde,
>>
>> Eu fiz esta configuração que você quer no DHCP da empresa onde
>> trabalho, mas no meu caso eu tenho ainda diversas sub-redes dentro
>> da minha classe B com permissões distintas. No seu DHCP você
>> ajusta a configuração abaixo.
>>
>> A configuração abaixo é um pouco mais complexa, mas a mágica é a
>> diretiva "deny unknown-clients;" e voê terá que cadastrar todos os
>> MAC das tuas estações no arquivo de DHCP, e isso dá um pouco de
>> trabalho, principalmente se você aceita máquinas pessoais na tua
>> rede.
>>
>> class "redeDirecao" {
>> match option dhcp-client-identifier;
>> }
>> subclass "redeDirecao" 1:MAC;
>> subclass "redeDirecao" 1:MAC;
>>
>> class "redeFinanceiro" {
>> match option dhcp-client-identifier;
>> }
>> subclass "redeFinanceiro" 1:MAC;
>> subclass "redeFinanceiro" 1:MAC;
>>
>> subnet 172.16.0.0 netmask 255.255.0.0 {
>> option domain-name "xxxxxxxx";
>> option routers 172.16.0.1;
>> option subnet-mask 255.255.0.0;
>> option ntp-servers 172.16.0.2;
>> option domain-name-servers 172.16.0.3;
>>
>> # --> Maquinas na rede 172.16.1.x Direcao
>> pool {
>> range 172.16.1.1 172.16.1.30;
>> allow members of "redeDirecao";
>> deny members of "redeFinanceiro";
>> deny unknown-clients; # todos os MAC que não estão
>> cadastrados
>> }
>>
>> # --> Geral todas maquinas na rede 172.16.0.0
>> pool {
>> range 172.16.0.10 172.16.0.215;
>> deny members of "redeDirecao";
>> deny members of "redeFinanceiro";
>> deny unknown-clients; # todos os MAC que não estão
>> cadastrados
>> }
>> } #Fim da Subnet 172.16.0.0
>>
>> #
>> --------------------------------------------------------------------------------------
>> #
>> # Declaracao de Hosts conhecidos #
>> #
>> --------------------------------------------------------------------------------------
>> #
>> host estacao01 { hardware ethernet MAC; }
>> host estacao02 { hardware ethernet MAC; }
>>
>> Atenciosamente,
>> Naira Kaieski
>>
>> Em 28/08/2013 17:17, Cesar Augusto de Oliveira escreveu:
>>
>> Boa tarde.
>>
>> Quero permitir que apenas os computadores "autorizados" possam
>> acessar qualquer recurso da minha rede. Volta e meia usuário
>> pluga notebook na rede, o dhcp dá um IP pra ele e sai
>> navegando por aí, além de ter acesso ao servidor de arquivos e
>> outros.
>>
>> A maneira que encontrei de fazer é através do MAC. Mas como
>> permitir que apenas MACs previamente cadastrados tenham acesso
>> a qualquer recurso de rede?
>>
>> Obrigado.
>>
>> Att,
>> Cesar Augusto de Oliveira
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list