[FUG-BR] RES: RES: Controle de Mac Address no FreeBSD com Ipfw(tutorial)
Frederico Terra Boechat
fboechat em mar.com.br
Segunda Dezembro 4 14:49:16 BRST 2006
Use PPPoE, Faça Vlan, bloqueie acesso intra-IBSS na AP, bloqueie forward do
protocolo tcp/ip na AP.
Faça o teste e me diga depois o que achou :-)
Frederico Boechat
-----Mensagem original-----
De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome
de m3 BSD
Enviada em: segunda-feira, 4 de dezembro de 2006 12:56
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto: Re: [FUG-BR] RES: Controle de Mac Address no FreeBSD com
Ipfw(tutorial)
Gente... assim, camada 2 é complicado mesmo
Vamos supor o caso de um cliente wireless: Vc amarra ip ao mac no
server, e beleza, o cara nao consegue navegar se trocar de ip etc..,
porem, na maioria das vezes, o IDIOTA não se dará por vencido, e
ficara tentando mudar de ip de 1 em 1, ae, o que acontece, como eh
camada dois, vc nao tem como controlar, ae, o cara bota o ip de um
cliente seu, tudo bem, ele nao vai navegar, porem, nem seu cliente
vai!!!! Ai seu cliente te liga e reclama, e a unica coisa que vc pode
fazer eh trocar o ip do cliente e rezar para que o IDIOTA em questao
na coloque o mesmo ip de novo para que o mesmo cliente venha reclamar
novamente, e comecar a achar que a culpa eh sua (que de certa forma
nao esta errado). Agora, pior ainda, o IDIOTA coloca o ip do gateway,
ou seja, do server, ai piorou, pq o servidor vai congelar, parar de
responder na rede, vai logar no messages que ouve conflito de ip, e
vai esperar por um tempo esporadico, ae piorou, para o provedor
inteiro por X tempo, e se o IDIOTA nao trocar o ip, o seja, continuar
com o ip do gateway, ele ainda nao vai navegar (eh logico) porem,
NINGUEM mais navega, pois o gateway vai ficar sobe/cai/sobe/cai.....
Portanto, a mais provavel solucao eh gerenciar MAC autorizados no AP,
porem, isso nao garante que um cliente IDIOTA nao tente mudar o IP..
quem vai garantir isso é somente atravez de contrato e processo
judicial, essas coisas, porem, como a justica eh lenta, vc vai ter
muito tempo de problemas, clientes reclamando etc.. etc..
PPPoE, radius etc.. etc.., nao resolve, pois se o cara consgue estar
na rede (camada 2) e souber a classe de ip q vc usa, esses problemas
estao todos prontinhos, soh esperando pra acontecer;;;
SOLUCAO???? Bem... por enquanto, eh complicado, o negocio eh ir
lutando com as armas que temos. Eu tenho uma ideia, mas nao consegui
botar em pratica, a ideia eh a seguinte, colocar o FreeBSD com ap, e
fazer com que o cara soh consiga se assosciar ao AP com o MAC e IP
cadastrado... ae ficaria show... Nao encontrei esta feature em aps
comerciais prontos, e nao sei se eh possivel fazer isso usando o
freebsd (ou qualquer outro OS) em modo AP... alguem ae tem alguma
ideia ou sugestao????
Em 04/12/06, Junior Pires<junior at gujao.com> escreveu:
> Obrigado pela dica! =)
>
> Mas tipo... Já me disseram que esse tipo de autencicação em rário fica
> meio tosco, que de vez em quando dá uma zica doida.
>
>
>
> > Em 04/12/06, Junior Pires<junior at gujao.com> escreveu:
> >> Hum, obrigado Alessandro e Renato!
> >>
> >> Eu estava mesmo querendo saber algo sobre isso, porque eu estou
montando
> >> um provedor wireless, e teno que manter esse tipo de segurança.
> >>
> >> Obrigado!
> >>
> >>
> >> >
> >> >
> >> >> -----Mensagem original-----
> >> >> De: freebsd-bounces at fug.com.br
> >> >> [mailto:freebsd-bounces at fug.com.br] Em nome de Alessandro de
> >> >> Souza Rocha
> >> >> Enviada em: segunda-feira, 4 de dezembro de 2006 09:06
> >> >> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> >> >> Assunto: Re: [FUG-BR] Controle de Mac Address no FreeBSD com
> >> >> Ipfw (tutorial)
> >> >>
> >> >> Em 02/12/06, Junior Pires<junior at gujao.com> escreveu:
> >> >> > Poxa, eu estava justamente preçisando de uma coisa desse
> >> >> tipo, pra um
> >> >> > provedor wireless que estou montando...
> >> >> >
> >> >> > Pelo que entendi, o ip é travado no mac da placa,
> >> >> impossibilitando de
> >> >> > outro usuário itilizar aquele ip, já que o mac de outra placa é
> >> >> > diferente, correto?
> >> >> >
> >> > Lembre-se que nada impede, por exemplo em um ambiente wireless, de
> >> clonar
> >> > mac+ip.
> >> > Daí os 2 sistemas operacionais irão brigar, na base do melhor
esforço,
> >> > quem
> >> > vai funcionar.
> >> > Na maior parte das vezes ambos dão pau e não conseguem acessar.
> >> > Mas, por exemplo, um NT40 ira jogar uma mensagem na tela falando que
> >> há um
> >> > clone e desligar todos os serviços de rede.
> >> >
> >> > O BSD irá jogar uma mensagem no console e tentar funcionar de tempos
> >> em
> >> > tempos, etc etc.
> >> >
> >> >
> >> > -------------------------
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >
> >> > --
> >> > Esta mensagem foi verificada pelo sistema de antivírus e
> >> > acredita-se estar livre de perigo.
> >> >
> >> >
> >> >
> >>
> >>
> >> --
> >> Junior Pires
> >> Assistente de Informáica
> >> CPD
> >> Gujão Alimentos.
> >> Tel: (75) 3244-2121 (Ramal 202).
> >>
> >>
> >> --
> >> Esta mensagem foi verificada pelo sistema de antivírus e
> >> acredita-se estar livre de perigo.
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > Velho para melhor seguranca poderia colocar autenticaoca por pppoes e
> > radios..da uma olhada no tutorial que encontra-se
> > na www.free.bsd.com.br que vai te ajudar e muito
> >
> > --
> > Alessandro de Souza Rocha
> > Administrador de Redes e Sistemas
> > Freebsd-BR User #117
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > --
> > Esta mensagem foi verificada pelo sistema de antivírus e
> > acredita-se estar livre de perigo.
> >
> >
> >
>
>
> --
> Junior Pires
> Assistente de Informáica
> CPD
> Gujão Alimentos.
> Tel: (75) 3244-2121 (Ramal 202).
>
>
> --
> Esta mensagem foi verificada pelo sistema de antivírus e
> acredita-se estar livre de perigo.
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Atenciosmente
Mario Augusto Mania <m3BSD>
-----------------------------------------------
m3.bsd.mania at gmail.com
Cel.: (43) 9938-9629
Msn: mario at oquei.com
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd