[Fedora-users-br] DHCP

Otto Fuchshuber Filho o2to2f em gmail.com
Qua Jan 4 14:22:37 UTC 2006 

Para resolver definitivamente as questões apontadas pelo Hugo, só usando o 
protocolo IEEE 802.1X - Port Based Network Access Control
http://www.ieee802.org/1/pages/802.1x.html
http://en.wikipedia.org/wiki/802.1X

Sds,
Otto Fuchshuber Filho
o2to2f em gmail.com

Hugo Cisneiros wrote:
> Adere - Levi / Suporte Linux wrote:
> 
>> Pessoal uso DHCP na minha rede, mas as vezes chegam algumas pessoas 
>> com notebook, espetam seus notebook na minha rede e logo em seguinda 
>> eles ja adquiriram um numero ip, dns primario, secundario, gateway, 
>> entre outras coisas, queria saber se tem como barrar isso, quando a 
>> pessoa colocar o notebook na rede, não vai conseguir fazer nada, não 
>> vai obter ip, nada, teria como?
> 
> 
> Olá Levi,
> 
> Pelo que eu saiba, a única maneira de você fazer isso no DHCP é
> restringir a obtenção dos IPs pelo endereço de hardware (MAC) da placa
> de rede. Assim você consegue associar certos IPs à certas placas
> específicas, e as que não estão cadastradas no DHCP não vão pegar IP.
> 
> A desvantagem desse método é que além dele não resolver totalmente o
> problema de "segurança", você vai ter que ficar controlando os MACs das
> placas, ou seja, cada vez que se troca um MAC, você terá que mudar a
> configuração do DHCP colocando o novo MAC e tudo mais. Isso dá mais
> trabalho para manutenção, e quanto maior a rede, pior.
> 
> De qualquer maneira, você pode fazer o inverso: Não deixar certos MACs
> passarem na rede. Para isso você pode fazer em um firewall iptables para
> negar todos os pacotes de algum endereço MAC.
> 
> Mas mesmo dessas maneiras, o cara pode chegar com um notebook, espetar
> na rede, fazer uns arp requests, descobrir a rede, e configurar
> manualmente os IPs e etc. Eu mesmo já fiz isso bastante :-)
> 
> Aí a solução seria um switch gerenciável que não deixe fazer esse tipo
> de coisa. É, segurança plena não existe, e quanto mais se chega perto,
> mais caro fica :)
> 
> Se quiser ajuda em algumas das soluções que falei, não deixe de falar.
>

Mais detalhes sobre a lista de discussão Fedora-users-br