[FUG-BR] Controle de Acesso
Antonio Torres
antonio.torres em vsat.com.br
Quinta Maio 10 22:19:58 BRT 2007
Sem ser pessimista....
Não importa o que venha a ser feito: se não for utilizado "switch
gerenciável" é apenas questão de tempo até descobrirem que uma mera
configuracão de IP permite "todos-verem-todos".
Qualquer `trafshow` ou outro programa que "monitore" a placa de rede vai
enxergar todo o tráfego e daí para voce ter problemas, é um passinho...
Sugestão:
Misture todas as idéias, mexa bem, acrescente pinga e limão:
- Instale, digamos, 6 placas de rede, no servidor: uma para WAN e 5 para
LAN (clientes);
- instale um HUB (ou switch não gerenciável) de 24 portas em cada "NIC
de cliente" (23 x 5 = 115 clientes máximo... até sobra algumas portas
livres por HUB);
- use o DHCP "amarrado" por MAC address e "redes /30".
- isole as NICs pelo firewall
- Monitore constantemente a rede.... quando surgir problema (e surgirá)
uma mera troca de cabos, de um hub para outro, já vai "isolar" (ou pelo
menos perturbar) o seu "cliente pentelho"...
[]s
Antonio Torres
Andre Sencioles wrote:
> Infelizmente, isso soh vai funcionar até algum "pentelho" descobrir
> que as maquinas estao na mesma rede fisica... ai eh um abraço...
>
> outra solução eh fazer isso via rede wireless (se o trafego na rede
> permitir), negando a comunicação entre hosts (o openbsd 4.1 faz isso).
>
> On 5/10/07, tfurbeta at cangere.com.br <tfurbeta at cangere.com.br> wrote:
>> On Thu, 10 May 2007 12:51:32 -0300, Daniel S. Garcia wrote
>>> Não amigo.
>>> Veja bem, se a estação 1 quiser conversar com a estação 2 elas nao irao
>>> passar pelo seu sevidor.
>>> Se voce estiver usando um HUB, ele replicara o pacote em todas as
>>> portas(broadcast) e estação 2 ira responder.
>>> Conexao feita
>>> Se voce estiver usando um switch não gerenciavel, ele ira pegar o
>>> pacote e replicará apenas na porta que a estaçao 2 está conectada
>>> (evitando assim trafegos descessario) mas nao ira impedir a
>>> comunição. Apenas em um gerenciavel voce podera definir o que quer fazer.
>>> A unica maneira que vejo p/ vc fazer isso, se não for utilizando esse
>>> equipamente é criando uma faixa de rede p/ cada host. e criando
>>> todos ips de gateway atraves de alias no seu bsd. Isso vai te gerar
>>> um transtorno tao grande a nivel de administração, que talvez nem
>>> vale a pena... Qualquer coisa estamos ai!
>>>
>>> [ ]´s
>> Realmente, se estiverem na mesma rede logica... utilizando a ideia do outro
>> amigo (adotar subredes /30 entre gateway e maquinas) fica facil negar o
>> trafego no firewall, já que todo o trafego terá que passar pelo gateway e
>> processado, lembre-se: redes lógicas diferentes, é pra isso que serve o
>> gateway. O incoveniente é a infinidade de IPs atribuidos a uma mesma
>> interface, nao se assuste com a saida do ifconfig.
>>
>> Att.
>>...
>
>
Mais detalhes sobre a lista de discussão freebsd