Bloqueio Remoto(WAN) Usando MAC ADDRESS

Uendel_go

Tem como fazer um esquema de tal forma que somente os MAC ADDRESS cadastrados de computadores remotos(Somente os acessos WAN), consigam acessar meu Servidor PfSense? Ou seja, somente os que estiverem MAC ADDRESS devidamente cadastrado no meu PF SENSE que conseguiram acessar meu PFsense e claro, se estiver cadastrado eu farei um redirecionamento para um servidor de aplicações que tenho aqui(Jboss)

P.S.: Sei que para acesso LAN, poderíamos usar o DHCP amarrando os MAC´s… mas, preciso de fazer algo parecido em computadores remotos(Acesso WAN)...

Muito Obrigado.

(Uendel)
Gerente de TI - Goiania-Goiás.

johnnybe

Será que ajuda um pouco?
http://doc.pfsense.org/index.php/Remote_firewall_Administration

O que realmente vai trazer segurança é VPN.

Uendel_go

@johnnybe:

Será que ajuda um pouco?
http://doc.pfsense.org/index.php/Remote_firewall_Administration

O que realmente vai trazer segurança é VPN.

Caro colega, muito Obrigado pela resposta, mas, acho que não entendeu… Eu não quero colocar um VPN... Olhe só: Tenho vários Representantes e Usuários que usam um sistema meu que utiliza o Jboss, preciso restringir o acesso por MAC ADDRESS e não por IP(Ou faixa de IP), pois, ele conectarão de várias formas, inclusive com IP´s dinâmicos… entendeu agora?

JackL

@Uendel_go:

@johnnybe:

Será que ajuda um pouco?
http://doc.pfsense.org/index.php/Remote_firewall_Administration
O que realmente vai trazer segurança é VPN.

Caro colega, muito Obrigado pela resposta, mas, acho que não entendeu… Eu não quero colocar um VPN... Olhe só: Tenho vários Representantes e Usuários que usam um sistema meu que utiliza o Jboss, preciso restringir o acesso por MAC ADDRESS e não por IP(Ou faixa de IP), pois, ele conectarão de várias formas, inclusive com IP´s dinâmicos… entendeu agora?

@Uendel_go,

Justamente neste seu caso é que você deveria pensar em disponibilizar o acesso a esta aplicação somente por intermédio de uma VPN. Conforme o colega Johnny te respondeu, é a maneira mais racional, segura e produtiva de você manter o mínimo de segurança em cenários onde você tem muitos usuários móveis.

Afinal de contas, se eles mudarem de máquina ou acessarem de uma Lan House, você vai ficar alterando um esquema de autenticação baseado em MAC pela eternidade? Pior… e no caso deles usarem conexões "nateadas" (o que deve ser a maioria)...?

Implemente uma VPN e feche uma rede segura entre todos os seus representantes, independente de onde ou como estão se conectando à web.

Abraços!
Jack

marcelloc

Ate onde conheço, restrições por mac So funcionam no mesmo segmento de rede.

Digite um arp -an na console do seu pfsense e veja se aparece algum Mac de ip remoto.

JackL

@marcelloc:

Ate onde conheço, restrições por mac So funcionam no mesmo segmento de rede.

Exatamente. Camada 2 do RM-OSI -> Trabalha somente em nível de enlace! ;)

Em outras palavras, é preciso estar no mesmo segmento de rede para poder aplicar ACLs baseadas em MAC ADDRESS!

Abraços!
Jack

Uendel

@JackL:

@marcelloc:

Ate onde conheço, restrições por mac So funcionam no mesmo segmento de rede.

Exatamente. Camada 2 do RM-OSI -> Trabalha somente em nível de enlace! ;)

Em outras palavras, é preciso estar no mesmo segmento de rede para poder aplicar ACLs baseadas em MAC ADDRESS!

Abraços!
Jack

Muito Obrigado pela resposta, pelo que estou tentando realmente não estou conseguindo pegar o MAC ADDRESS, preciso fazer igual os Bancos fazem para cadastrar um Compiutador, para ter acesso à aquele servidor… Imaginei por MAC... ,mas, creio que não dará certo? Tem alguma sugestão? Lembrando que os Computadores não terão IP´s Fixos... Grato

(Uendel)
Gerente de TI
Goiânia - Goiás

Uendel

@marcelloc:

Ate onde conheço, restrições por mac So funcionam no mesmo segmento de rede.

Digite um arp -an na console do seu pfsense e veja se aparece algum Mac de ip remoto.

Muito Obrigado pela resposta, Foi a primeira coisa que fiz.. não vem os MAC´s…

Grato,

(Uendel)
Gerente de TI
Goiânia - Goiás

Uendel

@JackL:

@Uendel_go:

@johnnybe:

Será que ajuda um pouco?
http://doc.pfsense.org/index.php/Remote_firewall_Administration
O que realmente vai trazer segurança é VPN.

Caro colega, muito Obrigado pela resposta, mas, acho que não entendeu… Eu não quero colocar um VPN... Olhe só: Tenho vários Representantes e Usuários que usam um sistema meu que utiliza o Jboss, preciso restringir o acesso por MAC ADDRESS e não por IP(Ou faixa de IP), pois, ele conectarão de várias formas, inclusive com IP´s dinâmicos… entendeu agora?

@Uendel_go,

Justamente neste seu caso é que você deveria pensar em disponibilizar o acesso a esta aplicação somente por intermédio de uma VPN. Conforme o colega Johnny te respondeu, é a maneira mais racional, segura e produtiva de você manter o mínimo de segurança em cenários onde você tem muitos usuários móveis.

Afinal de contas, se eles mudarem de máquina ou acessarem de uma Lan House, você vai ficar alterando um esquema de autenticação baseado em MAC pela eternidade? Pior… e no caso deles usarem conexões "nateadas" (o que deve ser a maioria)...?

Implemente uma VPN e feche uma rede segura entre todos os seus representantes, independente de onde ou como estão se conectando à web.

Abraços!
Jack

Caro Sr. Jack,

Se VPN fosse significado de segurança, não haveria tantos ataques á Redes VPN… Apesar de que, nós usaremos VPN sim... , para melhorar a segurança, mas, o que preciso é controle de acesso por liberção de computador, igual ao que os Bancos fazem.... Blz?

Grato,

(Uendel)
Gerente de TI
Goiânia - Goiás

johnnybe

@Uendel:

@JackL:

@Uendel_go:

@johnnybe:

Será que ajuda um pouco?
http://doc.pfsense.org/index.php/Remote_firewall_Administration
O que realmente vai trazer segurança é VPN.

Caro colega, muito Obrigado pela resposta, mas, acho que não entendeu… Eu não quero colocar um VPN... Olhe só: Tenho vários Representantes e Usuários que usam um sistema meu que utiliza o Jboss, preciso restringir o acesso por MAC ADDRESS e não por IP(Ou faixa de IP), pois, ele conectarão de várias formas, inclusive com IP´s dinâmicos… entendeu agora?

@Uendel_go,

Justamente neste seu caso é que você deveria pensar em disponibilizar o acesso a esta aplicação somente por intermédio de uma VPN. Conforme o colega Johnny te respondeu, é a maneira mais racional, segura e produtiva de você manter o mínimo de segurança em cenários onde você tem muitos usuários móveis.

Afinal de contas, se eles mudarem de máquina ou acessarem de uma Lan House, você vai ficar alterando um esquema de autenticação baseado em MAC pela eternidade? Pior… e no caso deles usarem conexões "nateadas" (o que deve ser a maioria)...?

Implemente uma VPN e feche uma rede segura entre todos os seus representantes, independente de onde ou como estão se conectando à web.

Abraços!
Jack

Caro Sr. Jack,

Se VPN fosse significado de segurança, não haveria tantos ataques á Redes VPN… Apesar de que, nós usaremos VPN sim... , para melhorar a segurança, mas, o que preciso é controle de acesso por liberção de computador, igual ao que os Bancos fazem.... Blz?

Grato,

(Uendel)
Gerente de TI
Goiânia - Goiás

Se firewall fosse significado de segurança, não haveria tantos ataques à Firewalls. Entre tantas outras coisas que eu poderia citar.
Bancos, inclusive.

Oras bolas, Uendel!  ::)

Não existe sistema 100% seguro! Nem nunca haverá! A vida não é segura, meu caro: O universo não é seguro!
Sempe há riscos. Tudo o que a gente pode fazer é tentar minimizar os riscos e desastres.

As pessoas aqui estão tentando ajudá-lo, mostrando-lhe alternativas e justificando o por quê disso ou aquilo.
Acontece que o modo como você tem se colocado soa um pouco arrogante. Talvez seja apenas a minha interpretação.
Me desculpe, se for apenas minha interpretação.

Um pouco mais de humildade e gentileza com essas pessoas só vai ajudar.

JackL

@Uendel:

Caro Sr. Jack,
Se VPN fosse significado de segurança, não haveria tantos ataques á Redes VPN… Apesar de que, nós usaremos VPN sim...

Aqui não irei polemizar ainda mais este tópico. O colega johnnybe foi suficientemente abrangente na sua resposta aí em cima. Apenas esclarecendo: Ninguém com 2 neurônios vivos na cabeça afirmaria que "VPN é significado de segurança". O que fiz foi sugerir a utilização da metodologia de VPN para o seu case… Por favor, não confunda as coisas e acalme-se nos comentários, ok?

o que preciso é controle de acesso por liberção de computador, igual ao que os Bancos fazem…. Blz?

Talvez o pacote Captive Portal, "escutando" e gerenciando sua interface WAN resolva o seu problema.  Com o Captive Portal você pode gerar uma lista de credenciais auto-destrutivas (baseada em vários parâmetros). Ele funciona muito bem para cases de hotspot e, embora eu nunca o utilizei para conexões WAN (por intermédio ou não de uma VPN), no seu lugar, eu pesquisaria um pouco mais sobre isso!

Abraços!
Jack

marcelloc

Se VPN fosse significado de segurança, não haveria tantos ataques á Redes VPN

Putz… Inacreditável! Parece a Microsoft com seus conceitos sobre segurança de senha no windowsnt 4.0
Faz o seguinte, coloca o seu windows xp sp3 direto na internet sem firewall e nem vpn. Desta forma você não sofre tentativas de ataques e sim invasões de fato.

…no seu lugar, eu pesquisaria um pouco mais sobre isso!

Eu pesquisaria um pouco mais sobre várias coisas.

o que preciso é controle de acesso por liberção de computador, igual ao que os Bancos fazem…. Blz?

Tenho certeza que soluções de banco não brotam de graça nos forums.

Respostas deste tipo desentimulam bastante.