BLOQUEIO DE ACESSO DINÂMICO A REDE.

wolfscorpion
(usa Debian)

Enviado em 03/09/2015 - 14:26h

Boa tarde pessoal,

Estou com um desafio interessante e gostaria da ajuda de todos!

Desafio:
Estou trabalhando em uma empresa com a necessidade de implementação de segurança bem avançada, pois existem muitos projetos estratégicos. Com isso tenho o desafio de criar um bloqueio a rede de computadores não autorizados.

Minha primeira ideia:
Acabei de implementar um novo sistema de chamados e controle patrimonial aqui na empresa, o controle patrimonial trabalha com agentes nas máquinas coletando informação e alimentando este sistema (OCS + GLPI). No banco de dados possuo algumas informações interessantes para que eu possa identificar cada máquina da rede. Partindo desde princípio,
a minha ideia é colocar no firewall/dhcp uma regra que ele se auto alimente desta massa de dados para que com as regras de acesso permita ou não o acesso da máquina a rede.

Vou dar um exemplo real:
Um pessoa trouxe um notebook de casa, não informou a entrada deste notebook, clonou os dados do desktop para este notebook, mesmo sem acesso ao arquivos, o usuário conseguiu utilizar a rede. Só foi descoberto, pois a máquina veio para a manutenção e o ip dela continuou ativo no monitoramento.

O que eu quero é que o firewall identifique que a máquina possui um MAC address diferente (neste caso o usuário pode clonar) , UID diferente, ou algo que o usuário não consiga alterar e eu consiga comparar... Também já pensei se a máquina não possuir o agente do ocs e não estiver devidamente catalogada no sistema, o dhcp não forneceria ip e o firewall não deixaria trafegar nenhum dado na rede...

Alguém já fez algo do tipo ou tem alguma ideia interessante que possa me ajudar?
O firewall que eu queria trabalhar seria o pfsense, mas tenho receio de me limitar com ele e caso seja necessário eu fico com iptables/debian mesmo.

conectadohost
(usa XUbuntu)

Enviado em 07/09/2015 - 13:04h

Olá,
acho que entendi que você quer liberar o acesso somente para determinados ips
se for isso basta criar um script com uma lista de ips que faça a comparação com os ips que estão tentando acessar
se o ip estiver na lista libera o acesso senão estiver ele não libera.
já fiz isso com CSF do cpanel mas pode ser adaptado para iptables

---> A arte de programar consiste na arte de organizar e dominar a complexidade.
---> Dijkstra <---

patrickpcs
(usa Nenhuma)

Enviado em 07/09/2015 - 15:07h

Cara, você pode configurar o isc-dhcp-server para pagar IPs de acordo com o hostname ou mac address, fazer reservas de IPs ou nem pagar para quem não se enquadrar nesses padrões. Mas nada vai impedir do usuário fixar um IP na sua máquina e entrar na rede interna.
A não ser que você tenha vários pontos de firewall na sua LAN, segmentando ela demais. E o firewall poderia fazer uma filtragem pelo mac dos equipamentos, entretanto o firewall teria que comparar cada pacote com todos os MACs cadastrados, iria consumir muito processamento e seu firewall ficaria lento, por consequência a rede lenta também.

Minha opinião.... É agora se não me engano acho que existe algo relacionado a autenticação para acesso a rede, mas não me lembro bem se era só para WiFi...que é integrado com um AD por exemplo.....tenho que estudar mais. Gostaria que alguém compartilhasse uma ideia viável, nada é impossível né mesmo?

_____________________________________________________

The quiter you become, the more you are able to hear.

----------------------------------------------------- 

wolfscorpion
(usa Debian)

Enviado em 08/09/2015 - 10:10h

Obrigado! É neste caminho que quero seguir, mas estou com algumas ideias para tornar tudo isso dinâmico e mais inteligente.]

Então, vou separar as minhas dúvidas para facilitar.

1 - Eu consigo fazer o Iptables ler um arquivo necessário para sua complementação?
Neste caso eu acho que já tenho a resposta.... http://www.vivaolinux.com.br/topico/netfilter-iptables/Liberar-lista-de-IPS

2 - Eu consigo fazer que o DHCP leia os arquivos da mesma forma do iptables também ?