[FUG-BR] [OFF] Controle de Acesso

Lauro Cesar de Oliveira olarva em gmail.com
Sexta Fevereiro 6 11:57:33 BRST 2009


Saudaçoes Alex.

Usar amaração IP+MAC não é mais considerado uma prática segura, não tenho
uma fonte especifica para confirmar formalmente  essa minha afirmação, porém
considere que a clonagem de MAC é trivial de se fazer, portanto, em termos
de segurança contra uso indevido de rede não serve.

Única forma segura que conheço é vpn/ipsec.

Há dois softwares que podem lhe ajudar na automatização dos processos:

Hamachi e Hostcert

Eu particularmente recomendo o hostcert, que é uma solução desenvolvida por
Brasileiros, e amplamente utilizada em provedores Wireless (
clientes.hostcert.com.br)

O Hostcert tem um  foco bem paranóico na segurança, com ele, o usuário não
precisa interagir na criação da vpn, pois ele autentica baseado no
hardware, que eu considero muito interessante.

O que ele faz é basicamente criar automaticamente uma vpn entre o cliente e
o HC gateway, apartir dai, se o tunnel tem previlégios pode passar
adiante...

O hc roda em bsd/linux/windows.

Dá uma olhada na interface demo dele: http://75.127.72.209:8989/

user: gerente
senha : gerente




2009/2/6 Alex <alexbbastos em gmail.com>

> Bom dia.
>
> Gostaria de pedir a opinião de vocês sobre qual a melhor forma de fazer
> controle de acesso, "amarrando" IP e MAC.
> Ex: Se um MAC bate com tal IP (e vice-versa), tem acesso externo, caso
> contrário, não.
>
> Já li um pouco e me foi falado sobre IPFW e/ou Squid para fazer isso.
> Atualmente, nosso firewall/router fica em outro departamento, e utiliza PF
> (além de ser administrado por outra pessoa que não é do nosso
> departamento).
> Aqui administramos os servidores de E-mail e DNS.
>
> O ideal seria colocar a solução na mesma máquina que roda o PF? (Teríamos,
> obviamente, que ter acesso à ela).
> A solução poderia ser instalada junto com o DNS; e o filtro de pacotes
> continuar sendo feito da maneira atual?
> Alguma outra forma?
> Qual a opinião/sugestão de vocês?
>
> Qualquer ajuda é bem vinda.
> Obrigado
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Lauro Cesar de Oliveira
http://www.gurulinux.blog.br
Hack to learn not learn to hack.


Mais detalhes sobre a lista de discussão freebsd