Problemas con IPS

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Problemas con IPS

I.S.C. Jorge Octavio Guzmán Sánchez-2

En el trabajo tengo restringido el acceso a sitios y servicios por ip
(es con un checkpoint, no sabria hacerlo por mac), para algunos
usuarios se determino que no tendrian acceso a internet, ellos ya se
dieron cuenta que otras IP's si tienen, entonces se les hace facil
cambiar su IP, mi duda es:

Existe alguna forma de asignar todas las IP´s a una interfaza del OPEN
BSD, es este tengo un DHCP,  que cuando detecte una peticion dhcp
(tengo en el dhcp cazadas algunas mac con algunas ip) que tendra que
ser determinada ip la quite de la interfaz y la asigne?

Que solucion me propone,

Gracias

--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.

-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Problemas con IPS

Fernando Quintero
Hola Jorge,
Seria bueno tener un esquema de conexión del checkpoint, openbsd, internet, para poder pensar en una solución. De eso depende básicamente lo que se pueda hacer, de la forma como tienes las cosas conectadas actualmente.

pd: Si checkpoint no puede filtrar por MAC que haces usando checkpoint?

Saludos.

El día 20/08/07, I.S.C. Jorge Octavio Guzmán Sánchez < [hidden email]> escribió:

En el trabajo tengo restringido el acceso a sitios y servicios por ip
(es con un checkpoint, no sabria hacerlo por mac), para algunos
usuarios se determino que no tendrian acceso a internet, ellos ya se
dieron cuenta que otras IP's si tienen, entonces se les hace facil
cambiar su IP, mi duda es:

Existe alguna forma de asignar todas las IP´s a una interfaza del OPEN
BSD, es este tengo un DHCP,  que cuando detecte una peticion dhcp
(tengo en el dhcp cazadas algunas mac con algunas ip) que tendra que
ser determinada ip la quite de la interfaz y la asigne?

Que solucion me propone,

Gracias


Geek by nature, BSD by choice
--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.
-~----------~----~----~----~------~----~------~--~---

Reply | Threaded
Open this post in threaded view
|

Re: Problemas con IPS

Gerardo Santana Gómez Garrido
In reply to this post by I.S.C. Jorge Octavio Guzmán Sánchez-2

El 20/08/07, I.S.C. Jorge Octavio Guzmán Sánchez <[hidden email]> escribió:

>
> En el trabajo tengo restringido el acceso a sitios y servicios por ip
> (es con un checkpoint, no sabria hacerlo por mac), para algunos
> usuarios se determino que no tendrian acceso a internet, ellos ya se
> dieron cuenta que otras IP's si tienen, entonces se les hace facil
> cambiar su IP, mi duda es:
>
> Existe alguna forma de asignar todas las IP´s a una interfaza del OPEN
> BSD, es este tengo un DHCP,  que cuando detecte una peticion dhcp
> (tengo en el dhcp cazadas algunas mac con algunas ip) que tendra que
> ser determinada ip la quite de la interfaz y la asigne?
>
> Que solucion me propone,
>
> Gracias


Sí puedes, con DHCP, vincular una MAC con una IP. También podrías
poner estática tu tabla ARP para que tu gateway no deje pasar paquetes
de PCs con IPs cambiadas. Sin embargo esto impone un gran trabajo
administrativo (mantener las dos tablas), impensable en una red con
más de 20 computadoras.

Una dirección IP no te dice nada acerca de quién la está usando, como
tampoco lo hace una MAC (ambas falsificables).

No es por ahí la solución, en mi opinión.

Mi sugerencia es:

1. Crear cuentas de usuario restringidas en los equipos. El usuario no
debe tener privilegios para modificar la configuración de red.

2. Usar authpf para carga dinámicamente reglas que permitan el acceso
de Internet, y negar el acceso de forma predeterminada.

Al punto uno le pueden dar la vuelta si arrancan con otro sistema
operativo desde un CD.
Al punto dos le pueden dar la vuelta compartiendo la contraseña o de
plano instalando un proxy desde donde se "cuelguen" las demás PCs.

No hay solución técnica perfecta. Por lo tanto debes apoyarla con
reglas administrativas que prohiban el uso indebido de los recursos.
Con la configuación que te menciono arriba, podrás generar reportes de
uso por usuario y apoyarte en ellos para "perseguir" a los usuarios
malintencionados.

En otras palabras, transforma el problema:

tu problema no es evitar, técnicamente, el uso indebido de los
recursos, eso no es posible; tu problema es conseguir un sistema
auditable que permita demostrar el mal comportamiento de un usuario
así como un marco reglamentario que lo prohiba.

--
Gerardo Santana

--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "OpenBSD México" de Grupos de Google.
 Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a [hidden email]
 Para anular la suscripción a este grupo, envía un mensaje a [hidden email]
 Para obtener más opciones, visita este grupo en http://groups.google.com.mx/group/OpenBSD-Mexico?hl=es.

-~----------~----~----~----~------~----~------~--~---