Network Access Protection (NAP) para linux [RESOLVIDO]

nayara
(usa Red Hat)

Enviado em 18/05/2010 - 10:18h

Alguém conhece algum software que faça algum tipo de segurança para DHCP como o NAP do windows server 2008??
Quero alguma coisa que não tenha que cadastar MAC de cada máquina e que não permita que qualquer um conecte na minha rede por DHCP.

irado
(usa XUbuntu)

Enviado em 18/05/2010 - 11:23h

aqui não conhecemos windows.. pode esclarecer COMO isso aí funciona e o que realmente vc quer fazer?

nayara
(usa Red Hat)

Enviado em 18/05/2010 - 11:33h

Rs

O camarada ai (NAP) verifica alguns requisitos antes de atribuir um IP para o cliente. Estes requisitos podem ser verificação da existência de um firewall, anti virus, etc.
Existe um cliente instalado no host que envia estas informações para o servidor NAP e partir destas informações podemos criar políticas de segurança para acesso a rede.

Obrigada pela atenção!

irado
(usa XUbuntu)

Enviado em 18/05/2010 - 11:44h

bem.. de memória acho que não temos nada parecido com essas coisas aí (acho que felizmente, não quero nada com "aquilo").

à parte as gracinhas (minhas), vamos por partes:

estou imaginando que vc é (ou tem) provedor de alguma coisa, talvez wi-fi/radio. Nêste caso, o pessoal tem preferido usar o mikrotik (que não conheço).

defina seu ambiente, serviços que disponibiliza. Imagino que o que vc queira seja acesso com autenticação, limite de banda, limite de tempo, essas coisas, então seriam diversos serviços (no Linux) para isso:

eventualmente OpenLDAP, radius..

enfim: informe o que vc realmente pretende, ambiente, serviços a oferecer..

nayara
(usa Red Hat)

Enviado em 19/05/2010 - 09:55h

Eu tenho minha rede interna com mais 2000 máquinas windows. Quero colocar um servidor DHCP para melhorar o gerenciamento. Porém quero garantir uma segurança, mas devido ao tamanho do parque acho inviável cadastrar MAC por MAC, assim preciso de uma forma para garantir que o camarada não consiga ter acesso a minha rede sem que haja alguma forma segura para isso. Estava pesquisando sobre esse NAP e vi que tem algumas políticas que podem ser úteis, mas não quero ter um windows envolvido neste esquema...

irado
(usa XUbuntu)

Enviado em 19/05/2010 - 10:18h

bem.. IMHO, num parque de máquinas tão grande deveriamos deixar de ser radicais: a solução que melhor nos atende é aquela que.. nos atende e pronto. Embora eu seja xiita (e sou), eu analisaria cuidadosamente essa solução que vc viu (NAP) para saber se seria o melhor caminho. Não descartaria, naturalmente, observar soluções passíveis de implementação em BSDs (eu gosto de BSDs) e Linux.

mais de duas mil máquinas.. hmm.. complicado NUMA PRIMEIRA VEZ, mas vc não vai fazer o cadastramento todas as semanas. Poderia (por exemplo) usar o firewall/gw para registrar TODOS os mac.addr, durante vários dias, separar os mac ÚNICOS e cadastra-los de uma vez (perl, python, sed, awk.. ). Pode também usar um "network discovery", aplicativos especialistas disponíveis no freshmeat.

samba + esquema de autenticação; pode ser utilizado OpenLDAP+Radius, que são fácilmente (bem.. hmm.. ) integrados ao AD (veja em http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch31_:_Centralized_Logins_Using_LDAP...

com tantas máquinas, uma boa pedida é segmentação de rede e, já que falamos nisso, vlans, sempre usando o esquema de autenticação (acima).

enfim.. vc tem o bastante para se distrair :) eu só posso mesmo é sugerir. Uma boa (e divertida) empreitada aguarda vc.

boa sorte :)

nayara
(usa Red Hat)

Enviado em 20/05/2010 - 11:51h

Humm

Obrigada pela ajuda. Estamos estudando sim a segmentação, vou estudar sobre sua sugestã, mas obrigada pela dica!!!