[Ayuda] ligar mac address con ip para autenticar

Sandino Araico Sánchez sandino en sandino.net
Mar Dic 20 14:41:07 CST 2005 

Gunnar Wolf wrote:

>Octavio Ruiz (Ta^3) dijo [Sun, Mar 13, 2005 at 11:40:35PM -0600]:
>  
>
>>Gunnar Wolf, who happens to be smarter than you, thinks:
>>    
>>
>>>No puedo comentar en este momento respecto al rendimiento (ya lo haré
>>>en unos meses :) pue'que corra a llorar en tu hombro acerca de lo malo
>>>que resultó Linux pa' esto, gracias por ofrecerte), 
>>>      
>>>
>>La idea de ARPd es que toda la administracied
X-Virus-Scanned: amavisd-new at sandino.net
Content-Transfer-Encoding: quoted-printable
Sender: ayuda-admin en linux.org.mx
Errors-To: ayuda-admin en linux.org.mx
X-BeenThere: ayuda en linux.org.mx
X-Mailman-Version: 2.0.11
Precedence: bulk
List-Help: <mailto:ayuda-request en linux.org.mx?subject=help>
List-Post: <mailto:ayuda en linux.org.mx>
List-Subscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>,
	<mailto:ayuda-request en linux.org.mx?subject=subscribe>
List-Id: GNU/Linux help list <ayuda.linux.org.mx>
List-Unsubscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>,
	<mailto:ayuda-request en linux.org.mx?subject=unsubscribe>
List-Archive: <https://mail.linux.org.mx/pipermail/ayuda/>
X-Original-Date: Wed, 21 Dec 2005 02:59:39 -0600
Date: Wed, 21 Dec 2005 02:59:39 -0600
X-Virus-Scanned: amavisd-new at sandino.net

garaged wrote:

>     ¿Y qué es lo que propones, hacer una VPN de roadwarriors dentro de tu
>     LAN para permitirles usar el servidor de impresión?
>
>     La solución de controlar anomalías en las capas 2 y 3 me parece sana y
>     si a eso le agregas algún tipo de autentificación ueda bastante
>     utilizable dentro de una oficina sin que los usuarios abusen.
>
>
> Eso viene del que da las platicas del falso sentido de seguridad ???

¿Quieres discutir los riesgos con más detalle?
El problema (según leí) es acceso no autorizado a servidores Samba 
(archivos, impresoras....). Desde luego, sabemos que núnca hay que 
subestimar a un usuario con ganas de chingar la madre, pero para eso hay 
otras herramientas como los detectores de intrusos. La diferencia es qué 
tanto control tengas sobre tu red. Si cada quién hace en tu red lo que 
se le pega la gana y tienes a un usuario que más allá de saltarse las 
reglas quiere chingar pues te va a ser muy difícil encontrarlo a 
diferencia de una red donde tienes a todos tus usuarios bajo control y 
todo tu tráfico bajo control, donde las anomalías se vuelven más 
evidentes para los detectores de intrusos.
El contrapeso es el costo. Si el daño que te pueden causar es mayor al 
costo de hacer una VPN de roadwarriors dentro de tu misma LAN ya tienes 
la respuesta. La inseguridad de los sistemas puede llegar a ser evidente 
para un ojo bién entrenado; la diferencia es estar consciente de quién 
te puede causar daño y por dónde para que puedas tomar la decisión de 
qué tanto aprietas la seguridad o qué tanto la aflojas.

>
> En mi opinion en LAN no vale la pena hacer ningun tipo de 
> complicacion, la politica debe ser "legal", de la forma: "no debes 
> cambiar la configuracion de tu maquina porque te corro", si alguien lo 
> hace lo corres,

Las soluciones de tipo legal funcionan a posteriori y sólamente 
funcionan si tienes la capacidad de demostrar la infracción (o el 
delito) ante un tribunal. Si alguien le causó algún daño a tu 
organización evidentemente lo puedes demandar por cien millones de 
dólares (o lo que le puedas sacar), pero mientras el juicio transcurre 
sigue habiendo un daño que hay que reparar y una operación que hay que 
seguir manteniendo. De ahí la importancia de la prevención en los 
sistemas de calidad.

> porque por mas que hagas politicas de acceso a la red, todas son 
> suceptibles de ser engañadas y atacadas trivialmente para cualquiera 
> que sepa tantito de TCP y relacionados.

Eso depende de cuántos detectores de intrusos tengas, en dónde los 
tengas y qué tipo de anomalías estés buscando.
Eso también depende de qué tan protegidos tengas a tus servidores contra 
ataques que no es lo mismo que tenerlos protegidos contra abusos.

> Los usuarios no deben abusar porque esta prohibido, no porque se los 
> haces "dificil", donde dificil es facil en casi cualquier caso.

Si en tu organización está prohibido cierto tipo de abuso a cierto 
recurso eso debe estar controlado en todos los puntos de acceso a ese 
recurso. Un contrato en papel no te sirve de nada si no demuestras 
intención, si no demuestras control y si no demuestras evidencia 
contundente del abuso. Y sabemos que en los medios digitales toda la 
evidencia es falsificable y eso la debilita.

>
> Saludos
> Max
>
>
>
>
> -- 
> -----BEGIN GEEK CODE BLOCK-----
> Version: 3.12
> GS/S d- s: a-29 C++(+++) ULAHI+++ P+ L++>+++ E--- W++ N* o-- K- w++++ 
> O- M-- V-- PS+ PE Y-- PGP++ t- 5- X+ R tv++ b+ DI+++ D- G++ e++ h+ r+ z**
> ------END GEEK CODE BLOCK------



Sandino Araico Sánchez
-- 
Puede que no esté de acuerdo con lo que dices.
Entonces daré mi opinión hasta el cansancio,
ya que tengo el mismo derecho que tú......



 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda