Ipguard disponível para pfsense



  • Senhores,

    Já esta disponível na lista de pacotes o ipguard, uma excelente ferramenta para controle e ips e macs no mesmo segmento de rede.

    Exemplo do arquivo de configuração com comentários:
    00:d0:b7:df:ee:4a      192.168.1.100          Third column is a comment
    00:d0:b7:16:0b:f9      192.168.1.64
    00:d0:b7:16:0b:f9      192.168.1.66            There can be more than one IP
    00:00:21:e9:fe:9a      192.168.2.56
    00:08:c7:eb:22:6c      192.168.2.56            Also more than one MAC
    192.168.16.147          00:04:76:18:a0:b9      Order doesn't matter
    00:00:00:00:00:00      192.168.50.163          Zero MAC == any MAC
    00:0d:61:76:ef:eb      0.0.0.0                Zero IP == any IP
    00:02:b3:60:50:9c      127.0.0.1              Known wrong IP == MAC blocked
    00:0f:5b:83:30:0a      host.domain.tld        Hostnames resolved
    00:00:00:00:00:00      192.168.4.0/24          Allow subnet
    de:ad:be:ef:12:34      192.168.0.0/16          Block all other subnets

    00:0c:6e:a0:f6:6d      192.168.1.254        Comment

    post da sugestão aqui no forum em portugues:
    http://forum.pfsense.org/index.php/topic,45215.msg235734.html#msg235734

    att,
    Marcello Coutinho



  • Show of ball marcelloc!

    Devem haver pelo menos uns 500 posts no fórum questionando sobre maneiras de se "amarrar" IPs aos seus respectivos MACs. Aí está mais uma forma "elegante" de fazê-lo! ;)

    Abraços!
    Jack



  • Parabens marcelo,

    fiquei na dúvida.. qual seria a verdadeira utilidade em termos práticos ??.



  • @mantunespb:

    fiquei na dúvida.. qual seria a verdadeira utilidade em termos práticos ??.

    Usando as palavras do desenvolvedor da ferramenta:
    ipguard listens network for ARP packets. All permitted MAC-IP pairs
    listed in 'ethers' file. If it recieves one with MAC-IP pair, which is
    not listed in 'ethers' file, it will send ARP reply with configured
    fake address. This will prevent not permitted host to work properly in
    local ethernet segment.

    Usando minhas palavras:
    Esta ferramenta impede que maquinas não autorizadas "roubem" ips de outras maquinas.

    att,
    Marcello Coutinho



  • Pode até dificultar.. mas com certeza não vai impedir..



  • @mantunespb:

    Pode até dificultar.. mas com certeza não vai impedir..

    Porque não?  ??? Arp é a base para a localização do ip na rede.

    Instala ele e tenta roubar o ip de um servidor de teste por exemplo.  ;)



  • @marcelloc:

    @mantunespb:

    Pode até dificultar.. mas com certeza não vai impedir..

    Porque não?  ??? Arp é a base para a localização do ip na rede.

    Instala ele e tenta roubar o ip de um servidor de teste por exemplo.  ;)

    Repito.. não vai impedir..  qualquer dúvida vide BackTrack..



  • @mantunespb:

    Repito.. não vai impedir..  qualquer dúvida vide BackTrack..

    Eu conheço o backtrack, o ipguard usa o processo inverso para proteger a rede.

    Enfim, Teorias a parte, a ferramenta está ai e é muito boa. Fiquei sem acesso algumas vezes até acertar a configuração.

    att,
    Marcello Coutinho



  • Pois é marcelo,

    como eu falei antes, pode até dificultar.. mas não vai impedir completamente.

    Já fiz alguns testes com ferramentas similares que usa este mesmo conceito..



  • estou amarrando via DHCP! Devo continuar ou passar para o ipguard?



  • @diegogyn:

    estou amarrando via DHCP! Devo continuar ou passar para o ipguard?

    Amarra via dhcp e via ipguard.

    Já tinha pensado em integrar o pacote com o dhcp mas preciso estudar isso melhor.

    Configurando os dois, você além de entregar o ip certo para a maquina, você impede que outras maquinas tentem usar o ip do diretor por exemplo quando ela estiver desligada.

    Lembrando que esta configuração funciona para maquinas no mesmo segmento de rede.

    att,
    Marcello Coutinho



  • Interessante esse pacote, só tenho dúvida. O meu DHCP não é no Pfsense é no windows server. Posso usar esse pacote sendo assim, ou o DHCP tem que ser no Pfsense?

    Abraços.



  • @Babingthon:

    Interessante esse pacote, só tenho dúvida. O meu DHCP não é no Pfsense é no windows server. Posso usar esse pacote sendo assim, ou o DHCP tem que ser no Pfsense?

    o IPGuard é independente do DHCP Server, conforme o marcelloc postou acima.

    Pense no IPGuard como um "plus" ao DHCP Server. Como já foi dito aqui, a função dele é rodar sobre enlaces de um mesmo segmento de rede ou, em outras palavras, "impedir que maquinas não autorizadas roubem ips de outras maquinas". Neste sentido, ele pode rodar perfeitamente em um servidor diferente do DHCP Server!

    Abraços!
    Jack



  • Não olhei nada sobre o ipguard mas se a função dele for só amarrar o MAC ao IP, acho desnecessário; com a opção

    Enable Static ARP entries
      Note: Only the machines listed below will be able to communicate with the firewall on this NIC.

    do DHCP eu já consigo amarrar o IP, se eu trocar o IP pra um diferente do q está na entrada estática, não consigo navegar.



  • Seus servidores estão listados lá também?

    você consegue liberar por exemplo a faixa do wifi/rede guest lá?

    Se o usuário A colocar o ip do usuario B para acessar o msn, o static arp já bloqueia?



  • Seus servidores estão listados lá também?

    sim..

    você consegue liberar por exemplo a faixa do wifi/rede guest lá?

    só tenho uma faixa de rede, não sei te dizer.

    Se o usuário A colocar o ip do usuario B para acessar o msn, o static arp já bloqueia?

    Não fiz esse teste, so tentei acessar um site e bloqueou. Se quiser posso tentar depois.
    Mas posso te garantir que com o static arp ativado e seu ad fora da lista, vc não consegue autenticar o usuário no proxy. Passei por esse filme de terror agora.



  • Então,

    A ferramenta é boa, para o dhcp traz mais opções como mac liberado, faixa de ip e etc….



  • Boa tarde.
    Uma duvida.
    Sempre que cadastro o MAC tambem tenho que colocar a faixa de rede?
    Agradeço



  • @gilmarcabral:

    Boa tarde.
    Uma duvida.
    Sempre que cadastro o MAC tambem tenho que colocar a faixa de rede?
    Agradeço

    sim, nem que seja 0.0.0.0 para permitir qualquer ip neste mac.

    O único help/tutorial disponível do ipgurad está no primeiro post deste tópico, veja os exemplos que ele dá.


Locked