[MASOCH-L] monitoramento mac

Douglas Fischer fischerdouglas at gmail.com
Wed Apr 16 16:18:51 -03 2014 

Caro davi... Seguem sugestões:

1º Cuidado na escolha das palavras.
     Entre escrevê-las e lê-las a interpretação pode mudar muito.
     O mesmo vale para Caixa Alta, Indentação e Pontuação.
   O descuido com esse recurso pode gerar flames...

2º 802.1X é um recurso de Layer2, todos(pratcamente) Access-Points de hoje
em dia tem 802.1X, e muitos deles não tem suporte a Layer3.

3º Implementar segunrança de L2 não tem nada a ver com velocidade...
   Não importa se o switch é velho ou novo...
   Importa sim se o switch tem uma Console(GUI ou CLI) confiável, uma
Engine BOA, que não vá congelar por falta de CPU ou memória quando você
ativou um ou dois recursos a mais.

4º Facilitar sua vida... Eu pergunto, a que prazo?
   Certamente ficar fazendo scans vai resolver teu problema a curto prazo,
mas não vai evitar que vossos recursos sejam comprometidos a curto, médio,
e longo prazo.
   E posso te dizer de cadeira que depois de passada a turbulência inicial
da implementação de 802.1X em conjunto com alguma ferramenta decente de
gestão de tal recuros(NAP, NAC, ISE, etc...) sua vida vai ser muito mais
tranquila.

5º O desafio... Me faltam dedos nas mãos para contar as empresas que:
   - Conheço
   - Não são multinacionais
   - Tem mais de 5 switchs
   - Tem 802.1x, ou um simples mac filtering manual implementado.



2º - Complemento
     Podes pegar switchzinhos daqueles bem gambás que vai ter 802.1X.
     Te garanto que com menos de 800 pilas comprarás 24 x 10/100 com
recursos de segurança.
     Qual a preocupação nesse caso?
        - Quando "o cara do compras" manda um switch xing-ling e a rede
para, você tem alguém para comprar.
        - Quando você dá o aval para comprar um switch para implementar
802.1x, e ele trava por CPU lacrada, ou falta de memória e a rede para, é o
seu que está na reta.


Em 16 de abril de 2014 15:42, davi peres <daviperes at gmail.com> escreveu:

> até parece que onde voces trabalham a rede é 100% segura né... kkk veja:
> aqui não tem switchs para se fazer isso. a maioria é 10/100 sem layer 3. o
> que quero é somente facilitar minha vida para encontrar um equipamento que
> esteja solicitando ip via dhcp.... nao estou preocupado com a segurança e
> sim com a minha fadiga :) meu negocio é automatizar.
>
>
> http://blogs.technet.com/b/fcima/archive/2006/10/30/o-que-voc-precisa-saber-antes-de-implementar-802-1x-em-redes-com-fio.aspx
>
> *"**Todas as portas de rede corporativa precisam ter autenticação 802.1x
> habilitadas para obter segurança"*
>
> vai me dizer que na rede onde vcs trabalham tem 100% dos switchs com layer
> 3? se sim, ou é multinacional de informatica ou banco ou só tem 1 ou 2
> switchs ... pq em empresas comuns creio que isso não exista. é muito caro.
> e o pssoal simplesmente faz remanejamento de equipamentos, conforme vai
> atualizando a rede, vai pondo os porcarias nas pontas. vi isso em 4 grandes
> empresas aqui da minha região.
>
> alias lanço aqui o desafio para que alguem me diga se tem mais de 5 switchs
> com 802.1x habilitado ou ja viu isso em algum lugar... pra mim ainda é
> conto de fadas...
>
>
> Em 15 de abril de 2014 22:45, Danton Nunes <danton.nunes at inexo.com.br
> >escreveu:
>
> > On Tue, 15 Apr 2014, davi peres wrote:
> >
> >  Galera, sempre que aparece um pc novo na rede, tenho que ficar
> monitorando
> >> para achar o mac do cara que está tentando entrar na rede, ir no dhcp e
> >> cadastrar. Alguem tem alguma solução que me pisque em vermelho por
> exemplo
> >> o mac que chegou a 1 hora na rede por exemplo ?
> >>
> >
> > peraí, você tem que cadastrar o MAC, mas o dono do computador pode ir
> > ligando sem mais nem menos? teu problema não é de monitorar endereços
> MAC,
> > teu problema é de organização e métodos.
> >
> > se vocês tem preocupação com quem entra na rede, não seria melhor
> > autenticar a freguesia com 802.1X? assim o usuário pode vir com
> computador
> > novo desde que use certificado "velho".
> >
> >
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the masoch-l mailing list