[Fedora-users-br] DHCP
Otto Fuchshuber Filho
o2to2f em gmail.com
Qua Jan 4 14:22:37 UTC 2006
Para resolver definitivamente as questões apontadas pelo Hugo, só usando o
protocolo IEEE 802.1X - Port Based Network Access Control
http://www.ieee802.org/1/pages/802.1x.html
http://en.wikipedia.org/wiki/802.1X
Sds,
Otto Fuchshuber Filho
o2to2f em gmail.com
Hugo Cisneiros wrote:
> Adere - Levi / Suporte Linux wrote:
>
>> Pessoal uso DHCP na minha rede, mas as vezes chegam algumas pessoas
>> com notebook, espetam seus notebook na minha rede e logo em seguinda
>> eles ja adquiriram um numero ip, dns primario, secundario, gateway,
>> entre outras coisas, queria saber se tem como barrar isso, quando a
>> pessoa colocar o notebook na rede, não vai conseguir fazer nada, não
>> vai obter ip, nada, teria como?
>
>
> Olá Levi,
>
> Pelo que eu saiba, a única maneira de você fazer isso no DHCP é
> restringir a obtenção dos IPs pelo endereço de hardware (MAC) da placa
> de rede. Assim você consegue associar certos IPs à certas placas
> específicas, e as que não estão cadastradas no DHCP não vão pegar IP.
>
> A desvantagem desse método é que além dele não resolver totalmente o
> problema de "segurança", você vai ter que ficar controlando os MACs das
> placas, ou seja, cada vez que se troca um MAC, você terá que mudar a
> configuração do DHCP colocando o novo MAC e tudo mais. Isso dá mais
> trabalho para manutenção, e quanto maior a rede, pior.
>
> De qualquer maneira, você pode fazer o inverso: Não deixar certos MACs
> passarem na rede. Para isso você pode fazer em um firewall iptables para
> negar todos os pacotes de algum endereço MAC.
>
> Mas mesmo dessas maneiras, o cara pode chegar com um notebook, espetar
> na rede, fazer uns arp requests, descobrir a rede, e configurar
> manualmente os IPs e etc. Eu mesmo já fiz isso bastante :-)
>
> Aí a solução seria um switch gerenciável que não deixe fazer esse tipo
> de coisa. É, segurança plena não existe, e quanto mais se chega perto,
> mais caro fica :)
>
> Se quiser ajuda em algumas das soluções que falei, não deixe de falar.
>
Mais detalhes sobre a lista de discussão Fedora-users-br