[MASOCH-L] Filtro por MAC ADDRESS

Cesar Augusto de Oliveira coliveira at emailmanager.com
Wed Aug 28 18:02:16 BRT 2013 

Essa autenticação com 802.1x funciona de que forma? Você sugere alguma 
ferramenta?

Valeu.

Att,
Cesar


On 08/28/2013 05:53 PM, João Lyma wrote:
> Pelo visto a saída mais elegante seria autenticar cada cliente com 
> certificados digitais usando  802.1x ou, como Riley sugeriu, usar uma 
> combinação de IPSec+ 802.1x .
>
> João Lima - Lyma
> Analista de Redes e Segurança
> MTCNA, MTCRE, MTCINE, JNCIA-EX, JNCIS-ER
>
> Em 28/08/2013 17:40, Naira Kaieski escreveu:
>> Oi,
>>
>> Sim se o usuário setar um IP manualmente que coincida com o Pool ele 
>> irá acessar a rede do Pool normalmente, se ele clonar um MAC também 
>> irá ocorrer a mesma coisa.
>> Esta configuração pega usuários básicos, dá para complicar a vida do 
>> usuário que chuta um IP com subredes, mas é trabalhoso e pouco 
>> eficiente.
>> Filtrar no switch, ainda está suscetível ao usuário clonar um MAC... 
>> enfim é complexo.
>>
>> Atenciosamente,
>> Naira Kaieski
>>
>> Em 28/08/2013 17:35, Samir Patrice escreveu:
>>>
>>> E se o usuário setar IP manualmente da mesma faixa do pool? Ela não 
>>> navega e nem tem acesso aos recursos da rede?
>>>
>>> Em 28/08/2013 17:32, "Naira Kaieski" <naira at faccat.br 
>>> <mailto:naira at faccat.br>> escreveu:
>>>
>>>     Boa tarde,
>>>
>>>     Eu fiz esta configuração que você quer no DHCP da empresa onde
>>>     trabalho, mas no meu caso eu tenho ainda diversas sub-redes dentro
>>>     da minha classe B com permissões distintas. No seu DHCP você
>>>     ajusta a configuração abaixo.
>>>
>>>     A configuração abaixo é um pouco mais complexa, mas a mágica é a
>>>     diretiva "deny unknown-clients;" e voê terá que cadastrar todos os
>>>     MAC das tuas estações no arquivo de DHCP, e isso dá um pouco de
>>>     trabalho, principalmente se você aceita máquinas pessoais na tua 
>>> rede.
>>>
>>>     class "redeDirecao" {
>>>        match option dhcp-client-identifier;
>>>     }
>>>      subclass "redeDirecao" 1:MAC;
>>>      subclass "redeDirecao" 1:MAC;
>>>
>>>     class "redeFinanceiro" {
>>>        match option dhcp-client-identifier;
>>>     }
>>>      subclass "redeFinanceiro" 1:MAC;
>>>      subclass "redeFinanceiro" 1:MAC;
>>>
>>>     subnet 172.16.0.0 netmask 255.255.0.0 {
>>>        option domain-name "xxxxxxxx";
>>>        option routers 172.16.0.1;
>>>        option subnet-mask 255.255.0.0;
>>>        option ntp-servers 172.16.0.2;
>>>        option domain-name-servers 172.16.0.3;
>>>
>>>          # --> Maquinas na rede 172.16.1.x Direcao
>>>          pool {
>>>                 range 172.16.1.1 172.16.1.30;
>>>                 allow members of "redeDirecao";
>>>                 deny members of "redeFinanceiro";
>>>                 deny unknown-clients; # todos os MAC que não estão
>>>     cadastrados
>>>            }
>>>
>>>          # --> Geral todas maquinas na rede 172.16.0.0
>>>          pool {
>>>                 range 172.16.0.10 172.16.0.215;
>>>                 deny members of "redeDirecao";
>>>                 deny members of "redeFinanceiro";
>>>                 deny unknown-clients; # todos os MAC que não estão
>>>     cadastrados
>>>            }
>>>     } #Fim da Subnet 172.16.0.0
>>>
>>>     #
>>> -------------------------------------------------------------------------------------- 
>>>
>>>     #
>>>     #  Declaracao de Hosts conhecidos #
>>>     #
>>> -------------------------------------------------------------------------------------- 
>>>
>>>     #
>>>     host estacao01 { hardware ethernet MAC; }
>>>     host estacao02 { hardware ethernet MAC; }
>>>
>>>     Atenciosamente,
>>>     Naira Kaieski
>>>
>>>     Em 28/08/2013 17:17, Cesar Augusto de Oliveira escreveu:
>>>
>>>         Boa tarde.
>>>
>>>         Quero permitir que apenas os computadores "autorizados" possam
>>>         acessar qualquer recurso da minha rede. Volta e meia usuário
>>>         pluga notebook na rede, o dhcp dá um IP pra ele e sai
>>>         navegando por aí, além de ter acesso ao servidor de arquivos e
>>>         outros.
>>>
>>>         A maneira que encontrei de fazer é através do MAC. Mas como
>>>         permitir que apenas MACs previamente cadastrados tenham acesso
>>>         a qualquer recurso de rede?
>>>
>>>         Obrigado.
>>>
>>>         Att,
>>>         Cesar Augusto de Oliveira
>>>         __
>>>         masoch-l list
>>>         https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>
>>>     __
>>>     masoch-l list
>>>     https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list