none
Bloquear maquinas de terceiros em uma rede DHCP

    Question

  • Srs,

     

    Estou com o sguinte problema,

     

    Tenho uma rede de 230 maquinas dividida da seguinte forma

     

    Setor 0 = CPD

    20.10.0.1 ate 20.10.0.20

    Fora do escopo DHCP (Todas as mauinas são ip fixo inclusive servidores, servidor internet squid)

     

    Escopo DHCP (20.10.1.1 - 20.10.10.30)

    Quero impedir a distribuição de ip pelo DHCP server para as maquinas que não estejam com MAC cadastrados,

    ou seja o individuo só conecta se cadastrarmos o seu MAC e liberamos o IP.

    Tem como fazer isto no W2K3

     

     

    Mais detalhes da rede

    Distribuição de ips na rede DHCP

     

    Setor 1

    20.10.1.1 ate 20.10.1.30

     

    Setor 2

    20.10.1.1 ate 20.10.1.30

     

    Setor 3

    20.10.1.1 ate 20.10.1.30

     

    Setor 4

    20.10.1.1 ate 20.10.1.30

     

    Setor 5

    20.10.1.1 ate 20.10.1.30

     

    Setor 6

    20.10.1.1 ate 20.10.1.30

     

    Setor 7

    20.10.1.1 ate 20.10.1.30

     

     

    Atts

    Alisson Eloi

    Tuesday, September 16, 2008 2:55 AM

All replies

  • Bom dia,

     

    ateh onde eu sei n tem como de forma simples, o q vc pode fazer eh criar as reservas e para os ip's nao utilizados colocar qquer MAC, com isso vc vai ter mto trabalho manual

     

    uma outra forma eh utilizar 802.1x, mas pra isso vc vai precisar de hardware (switch) que suporte 802.1x

     

    uma outra forma, eh utilizar ipsec com kerberos, vc deixa o cara pegar o ip mas ele n pode fazer nada na rede

     

    espero ter ajudado,

     

    Tuesday, September 16, 2008 7:36 AM
  • ...Aproveitando a duvida e como faria isso com o IPSEC com Kerberos? Para a maquina só pegar IP mas nao fazer nada na rede?
    Wednesday, September 17, 2008 6:12 PM
  • Amigo,
    Seu desejo de enviar ip apenas para MAC cadastrados pode ser uma saída embora um pouco complicada de inicio, já que terá que cadastrar todos os MACs mas é possivel de ser implementada.

    A segunda opção que lhe deram é o uso de IPSEC, sem duvida é muito mais seguro já que além de controle no acesso, vc terá criptografia e integridade dos dados, porém é preciso muito cuidado e planejamento antes de sair aplicando IPSEC na rede, já que o consumo de recursos é elevado e alguns problemas com NAT por exemplo podem surgir.
    Aconselho ler um pouco mais sobre IPSEC, coloquei um link básico sobre o assunto: http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp

    Outra opção é o uso de NAP, porém essa tecnologia está presente apenas em servidores Windows 2008, mas é possivel interoperar com sua infra, 2003 e estações XP.
    Vale a pena conhecer: 


    Classifique,
    Paulo Dutra
    www.itproexpert.com

    Wednesday, September 17, 2008 8:17 PM
  • Usando somente o W2k3 creio que não.
    Talvez você consiga isso usando algum firewall com uma regra que bloqueie todo o tráfego de DHCP Discover e DHCP Request que não seja de uma lista de MAC.
    O problema é que se o cara conhece um pouco a mais, pode facilmente descobrir a faixa de IP utilizada e colocar um IP fixo na máquina "estrangeira", imagine a dor de cabeça se ele coloca IP de algum servidor.

    Uma outra sugestão seria usar switchs com ACLs que bloqueem o tráfego de um MAC diferente em cada porta (ou no switch todo) assim você associaria todos os MAC na porta específica do switch, muitos bancos usam. Somente o cara clonando um MAC válido para conseguir entrar na rede. O grande problema é que a administração do seu ambiente aumentará consideravelmente.

    Você também pode usar o 802.1x, que é muito eficiente, mas para funcionar em rede cabeada é necessário um conjunto de soluções de Switchs + Radius (IAS/FreeRadius) + servidor DHCP + servidor usuários (AD/Samba/Novell) + Certificado (se for o caso). Mas que pode trazer mais problemas senão for bem estruturado e sua equipe bem treinada para prestar um bom suporte.

    Por último você pode tentar usar outra solução de DHCP que não seja a padrão do
    W2k3. Já vi implementações de servidores DHCP customizados usando o mysql como base de dados e de logs porém ficarei lhe devendo o nome dele agora.

    Claro que é necessário conhecer melhor seu ambiente, mas por padrão eu não recomendaria o uso do IPSEC pois aumentaria a carga de processamento do seus servidores já que toda criptografia é via software.
    Thursday, September 18, 2008 1:34 AM
  • Bom dia,

     

    respondendo algumas perguntas:

    1- NAP n veio com essa finalidade e vc pode utiliza-lo via DHCP, 802.1x, ipsec, vpn, ts gateway, mas claro, que bem configurado pode lhe ajudar com essa finalidade e o problema para vc eh que tem q ter um w2k8.

     

    2- dhcp com restricao via mac eh bem utilizada, mas aumenta o trabalho administrativo

     

    3- seguranca x performance isso sempre vai ser 1 problema, qdo mais seguranca menos performance. dependendo do tamanho e da configuracao da tua rede isso nao vai ser 1 problema, mas o ideal eh vc instalar em um ambiente de teste e testar antes de aprovar a solucao

     

    aqui vai 1 link para te ajudar

    http://www.microsoft.com/Downloads/details.aspx?FamilyID=5acf1c8f-7d7a-4955-a3f6-318fee28d825&displaylang=en

     

    espero ter ajudado,

     

    Thursday, September 18, 2008 7:33 AM