[FUG-BR] Controle de Acesso

Antonio Torres antonio.torres em vsat.com.br
Quinta Maio 10 22:19:58 BRT 2007


Sem ser pessimista....

Não importa o que venha a ser feito: se não for utilizado "switch 
gerenciável" é apenas questão de tempo até descobrirem que uma mera 
configuracão de IP permite "todos-verem-todos".

Qualquer `trafshow` ou outro programa que "monitore" a placa de rede vai 
enxergar todo o tráfego e daí para voce ter problemas, é um passinho...


Sugestão:

Misture todas as idéias, mexa bem, acrescente pinga e limão:

- Instale, digamos, 6 placas de rede, no servidor: uma para WAN e 5 para 
LAN (clientes);

- instale um HUB (ou switch não gerenciável) de 24 portas em cada "NIC 
de cliente" (23 x 5 = 115 clientes máximo... até sobra algumas portas 
livres por HUB);

- use o DHCP "amarrado" por MAC address e "redes /30".

- isole as NICs pelo firewall

- Monitore constantemente a rede.... quando surgir problema (e surgirá) 
uma mera troca de cabos, de um hub para outro, já vai "isolar" (ou pelo 
menos perturbar) o seu "cliente pentelho"...


[]s

Antonio Torres



Andre Sencioles wrote:
> Infelizmente, isso soh vai funcionar até algum "pentelho" descobrir
> que as maquinas estao na mesma rede fisica... ai eh um abraço...
> 
> outra solução eh fazer isso via rede wireless (se o trafego na rede
> permitir), negando a comunicação entre hosts (o openbsd 4.1 faz isso).
> 
> On 5/10/07, tfurbeta at cangere.com.br <tfurbeta at cangere.com.br> wrote:
>> On Thu, 10 May 2007 12:51:32 -0300, Daniel S. Garcia wrote
>>> Não amigo.
>>> Veja bem, se a estação 1 quiser conversar com a estação 2 elas nao irao
>>> passar pelo seu sevidor.
>>> Se voce estiver usando um HUB, ele replicara o pacote em todas as
>>> portas(broadcast) e estação 2 ira responder.
>>> Conexao feita
>>> Se voce estiver usando um switch não gerenciavel, ele ira pegar o
>>> pacote e replicará apenas na porta que a estaçao 2 está conectada
>>> (evitando assim trafegos descessario) mas nao ira impedir a
>>> comunição. Apenas em um gerenciavel voce podera definir o que quer fazer.
>>> A unica maneira que vejo p/ vc fazer isso, se não for utilizando esse
>>> equipamente é criando uma faixa de rede p/ cada host. e criando
>>> todos ips de gateway atraves de alias no seu bsd. Isso vai te gerar
>>> um transtorno tao grande a nivel de administração, que talvez nem
>>> vale a pena... Qualquer coisa estamos ai!
>>>
>>> [ ]´s
>> Realmente, se estiverem na mesma rede logica... utilizando a ideia do outro
>> amigo (adotar subredes /30 entre gateway e maquinas) fica facil negar o
>> trafego no firewall, já que todo o trafego terá que passar pelo gateway e
>> processado, lembre-se: redes lógicas diferentes, é pra isso que serve o
>> gateway. O incoveniente é a infinidade de IPs atribuidos a uma mesma
>> interface, nao se assuste com a saida do ifconfig.
>>
>> Att.
>>...


> 
> 



Mais detalhes sobre a lista de discussão freebsd