Página 3 de 8 PrimeiroPrimeiro 1234567 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. nao tenho esse arquivo /etc/ethers no debian, basta criá-lo? ou tenho que instalar algum soft a +?

  2. Ok, aqui está o "visitante".

    Lacier, basta completar o arquivo com os ip's que estão sem usuário com um mac fictício, tipo os ip's do 5 ao 254 com mac 11:11:11:11:11:11. Os ip's dos usuários devem ser casados com os respectivos mac's de suas placas de rede.

    Se um usuário (cliente) não comparecer ($$$$$$$$$ hehehe!) é só comentar a linha do par ip x mac do mesmo e acrescentar uma outra com o ip com mac fictício, salva o arquivo e dá um arp -f . Adeus acesso!

    Jim, se não tiver o arquivo /etc/ethers, crie e edite-o conforme acima. Não precisa nenhum daemon adicional.

    Pessoal, esta solução ajuda muito, mas se um "espertinho" não autorizado entrar na rede, conseguir capturar o ip x mac de usuário, mudar o mac da placa dele para o mesmo desse usuário e configurar com o respectivo ip (tipo qdo. o usuário não estiver ligado) ele vai passar como se fosse o mesmo. Já uso essa solução há muito tempo e até hoje não tive nenhum problema desse tipo...

    Espero ter ajudado... Tamos aí...



  3. Mano ryiades para que serve estes comando de arp????
    cara está é a parada mas louca q já vi.....achei muito foda isso...
    Pode colocar está sua parada com as regras de iptables para controlde de MAC????
    Obrigado pela atenção

  4. ryiades,

    no caso entao basta eu colocar no meu firewall a regra para fazer o masquerade e editar o arquivo ethers que apenas os IPs que nele estão irão navegar, e apenas se estiverem usando o MAC neste arquivo determinado?



  5. Ai mano, parabens.. dando seek no google encontrei o guia foca linux que falar sobre o arp -f, em portugues claro. bom proveito.

    o link http://focalinux.cipsga.org.br/guia/...ch-d-restr.htm

    19.7 Restrições por MAC Address/IP
    Esta proteção oferece uma barreira maior se segurança contra IPs spoofing evitando que pessoas mal intencionadas façam um IP spoofing da máquina para obter acessos privilegiados que somente o detentor original do MAC/IP teria. Recomendo não levar em consideração que isto seja a solução definitiva contra IP spoofing, pois é possível falsificar o MAC address de uma interface para tomar outra identidade.

    Este método poderá ser aplicado para fornecer um maior laço de confiança por hardware entre as máquinas que compõem uma rede de servidores. Ele também evita mesmo que uma máquina configurada de forma errônea tenha acesso indevido ao servidor ou em uma situação extrema, se torne o gateway da rede.

    Para restringir as conexões para uma máquina Linux por MAC address, utilize o firewall iptables. Com ele será permitido fazer a restrição por serviços, criando uma barreira bastante chata para crackers tentarem se conectar a um serviço. Como referência, leia a seção Especificando o endereço MAC da interface, Seção 10.6.7.

    Outra situação é a restrição por par MAC/IP usando o próprio cache arp da máquina, usando entradas estáticas de endereços. Um exemplo deste uso é quando você é extremamente paranóico ou quando uma rede que utiliza algum método de autenticação baseado no rhosts (como é o caso do sistema de backup do Amanda), então é importante dizer para as máquinas servidoras, qual o MAC address/IP privilegiado que terá o acesso ao usuário para conexão sem senha.

    O local padronizado para definir um MAC estático (e bastante desconhecido da maioria dos administradores de sistemas) é o /etc/ethers. O formato deste arquivo é o MAC Address e IP separados por espaço, cada linha com uma nova entrada de MAC Address. Veja o exemplo:

    00:03:47:AA:AA:AB www.focalinux.org.br
    00:03:47:BB:AA:BA www2.focalinux.org.br
    00:03:47:BB:AA:BB 192.168.0.1

    Caso não conheça o formato do endereço de MAC Address, os três primeiros 3 campos definem o fabricante da placa de rede, e os 3 últimos é uma identificação única do fabricante para a Placa, ou seja, NENHUMA placa de rede fabricada tem o mesmo MAC Address físico.

    Para que o comando arp crie as entradas estáticas no seu cache ARP, será necessário executar o comando arp -f /etc/ethers. Este comando poderá ser colocado em algum script ou diretório de inicialização de sua distribuição para que seja executado automaticamente (como por exemplo, no /etc/rc.boot da Debian). Digitando arp você verá as linhas definidas no arquivo /etc/ethers marcadas com as opção (flag) M (manual/permanente). Outra forma de verificar, é usando o arp -a máquina ou somente arp -a. As máquinas especificadas estaticamente (manualmente) terão o nome PERM listados (cache arp permanente).

    OBS: Como deve ter notado, a restrição por MAC Address implica em um aumento no trabalho de gerenciamento das configurações. Assim, planeje-se para que esta tarefa não seja desgastante, crie programas para realizar atualizações dinâmicas estudando a estrutura de sua rede e como suas máquinas se comunicam para não ter problemas obscuros quando tiver que fazer uma simples modificação em uma interface de rede

    Uma boa configuração restritiva requer análise sobre os impactos na rede.


    --------------------------------------------------------------------------------

    19.8 Desabilitando serviços não usados no 19.7 Restrições por MAC Address/IP
    Esta proteção oferece uma barreira maior se segurança contra IPs spoofing evitando que pessoas mal intencionadas façam um IP spoofing da máquina para obter acessos privilegiados que somente o detentor original do MAC/IP teria. Recomendo não levar em consideração que isto seja a solução definitiva contra IP spoofing, pois é possível falsificar o MAC address de uma interface para tomar outra identidade.

    Este método poderá ser aplicado para fornecer um maior laço de confiança por hardware entre as máquinas que compõem uma rede de servidores. Ele também evita mesmo que uma máquina configurada de forma errônea tenha acesso indevido ao servidor ou em uma situação extrema, se torne o gateway da rede.

    Para restringir as conexões para uma máquina Linux por MAC address, utilize o firewall iptables. Com ele será permitido fazer a restrição por serviços, criando uma barreira bastante chata para crackers tentarem se conectar a um serviço. Como referência, leia a seção Especificando o endereço MAC da interface, Seção 10.6.7.

    Outra situação é a restrição por par MAC/IP usando o próprio cache arp da máquina, usando entradas estáticas de endereços. Um exemplo deste uso é quando você é extremamente paranóico ou quando uma rede que utiliza algum método de autenticação baseado no rhosts (como é o caso do sistema de backup do Amanda), então é importante dizer para as máquinas servidoras, qual o MAC address/IP privilegiado que terá o acesso ao usuário para conexão sem senha.

    O local padronizado para definir um MAC estático (e bastante desconhecido da maioria dos administradores de sistemas) é o /etc/ethers. O formato deste arquivo é o MAC Address e IP separados por espaço, cada linha com uma nova entrada de MAC Address. Veja o exemplo:

    00:03:47:AA:AA:AB www.focalinux.org.br
    00:03:47:BB:AA:BA www2.focalinux.org.br
    00:03:47:BB:AA:BB 192.168.0.1

    Caso não conheça o formato do endereço de MAC Address, os três primeiros 3 campos definem o fabricante da placa de rede, e os 3 últimos é uma identificação única do fabricante para a Placa, ou seja, NENHUMA placa de rede fabricada tem o mesmo MAC Address físico.

    Para que o comando arp crie as entradas estáticas no seu cache ARP, será necessário executar o comando arp -f /etc/ethers. Este comando poderá ser colocado em algum script ou diretório de inicialização de sua distribuição para que seja executado automaticamente (como por exemplo, no /etc/rc.boot da Debian). Digitando arp você verá as linhas definidas no arquivo /etc/ethers marcadas com as opção (flag) M (manual/permanente). Outra forma de verificar, é usando o arp -a máquina ou somente arp -a. As máquinas especificadas estaticamente (manualmente) terão o nome PERM listados (cache arp permanente).

    OBS: Como deve ter notado, a restrição por MAC Address implica em um aumento no trabalho de gerenciamento das configurações. Assim, planeje-se para que esta tarefa não seja desgastante, crie programas para realizar atualizações dinâmicas estudando a estrutura de sua rede e como suas máquinas se comunicam para não ter problemas obscuros quando tiver que fazer uma simples modificação em uma interface de rede

    Uma boa configuração restritiva requer análise sobre os impactos na rede.


    --------------------------------------------------------------------------------






Tópicos Similares

  1. Respostas: 1
    Último Post: 03-07-2008, 09:04
  2. Como amarrar ip x mac no mkt
    Por netpower no fórum Redes
    Respostas: 7
    Último Post: 30-04-2008, 17:14
  3. Amarrar ip ao mac!!!!
    Por diegovilela01 no fórum Redes
    Respostas: 0
    Último Post: 13-12-2007, 18:29
  4. Como amarrar IP ao MAC?
    Por w00dy no fórum Servidores de Rede
    Respostas: 6
    Último Post: 10-10-2007, 08:04
  5. Não consigo amarrar IP ao MAC no MK
    Por jadersales no fórum Redes
    Respostas: 14
    Último Post: 27-09-2007, 13:54

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L