[FUG-BR] abuso de segurança =/

josias gonçalves josiaslg em bsd.com.br
Sábado Junho 14 14:24:48 BRT 2008


De forma drastica...

desative o gateway do servidor.

rede interna que se comunica apenas com o ip interno do servidor nas portas
dos proxys de navegação, smtp e pop3.

apenas os proxys podem ir lá "fora" e fazer conexão com ips externos.

autenticação por usuario e senha + mac + ip + data e hora permitidos para
uso.

não libere navegação para redes, apenas mac (frisando o que acontece muito
na config em geral).

crie acl com sites permitidos cruzando com os macs.

regra padrão e ultima: http_access deny all

juridicamente: Termo de responsabilidade entre a empresa e o funcionário,
aonde o mesmo é informado sobre o uso dos recursos computacionais da empresa
mencionando regras, bloqueios e monitoramentos. Um advogado consegue isto.

Em 14/06/08, Joao Rocha Braga Filho <goffredo em gmail.com> escreveu:
>
> On Fri, Jun 13, 2008 at 10:30 PM, Marcus Vinicius
> <marcovvinicius em gmail.com> wrote:
> > Galera, sei q a lista eh d bsd, este email eh apenas em prol da
> segurança.
> > (fato ocorrido em um cliente) bloqueio determinados usuarios por ips com
> > squid, o problema eh q depois da hora de trab eles trocam o ips pelos ips
> da
> > diretoria que nao tem restricoes obviamente. o problema eh que eles sao
> > administradores locais em uma rede workgroup..eu sei.. uma m! mas ainda
> > assim eu poderia restringilos? estou sedento por isso  ; )
>
>
> Trave o MAC, que melhora um pouco, mas não resolve em definitivo
>
> arp -s hostname ether_addr
>
> Para maiores detalhes, man arp
>
> Não resolve em definitivo, pois eles podem mucar o arp dos computadore,
> mas o conflito neste caso seria bem mais grave.
>
> Uso de vlans pode ajudar, dividindo a rede.
>
> Cadastro de MAC x IP, e usar o arpwatch para detectar mudanças de IP.
>
> Uso de leis trabalhistas, como suspensão de 1 dia para quem mudasse
> o IP da máquina, e 3 dias para reincidência.
>
> Tirar o poder de administrador de todos os usuários nas suas máquinas
> de trabalho.
>
> Etc.
>
>
> João Rocha.
>
>
> >
> > --
>
> > LPCI-1
> > IronPort Certified (ICSP)
> > hacking is very good x )
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
>
> --
> "Sempre se apanha mais com as menores besteiras. Experiência própria."
>
> goffredo em goffredo.eti.br
> goffredo em gmail.com
> http://www.goffredo.eti.br
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd