Re: localizar micro via endereço MAC

[Marcos Vinicius Lazarini <lazarini@nics.unicamp.br>]

Daniel wrote:

> Pessoal, estou com o seguinte problema. Aqui onde trabalho o switch é 
> dividido entre 3 laboratórios, sendo assim nào posso habilitar uma vlã 
> para isolar minha rede por ordem dos professores que tomam conta dos 
> laboratórios.

A questão é: Se vc habilitar, será que eles vão perceber? :-D

> Tenho um servidor dhcp na minha rede e tenho a lista dos endereços mac 
> das minhas placas de rede (todas). Verifiquei no entando que pelo menos 
> umas 10 máquinas de fora da minha rede estão pegando ip via dhcp do meu 
> servidor e utilizando-o para navegar na internet e alguns até deram 
> problemas por tentativa de invasão em outros servidores do campus.

Bom, vc pode partir pra dois 'approachs': configurar o DHCP pra só dar IP
válido pras maquinas vc conhece o MAC (apesar de que eu acho que o DHCP é
meio esperto nesse ponto e pode não deixar vc fazer 'burrada') e/ou fazer um
filtro via iptables em cima do MAC ADDRESS no gateway.
Se vc fizer só o primeiro passo, eles ainda podem continuar usando se
'descobrirem' que basta setar o IP na mao...

A proposito, as máquinas são laptops? Não dá pra botar uma senha de
root/admin que só vc saiba?

> gostaria de saber se existe alguma ferramenta onde eu possa identificar 
> o sistema operacional ou qualquer outra informação da máquina pelo mac 
> para achar onde ela está. Depois, vou bloqueá-las via iptables, mas 
> antes queria encontra-las para ver quem estava fazendo as tentativas de 
> invasão... Tem como fazer isso?

Bom, diz a lenda que cada companhia tem uma faixa de MAC ADD disponivel. A
solução que eu posso sugerir é o nmap mesmo; acho que vai ser o mais próximo
do que vc quer - a partir dai vc vai por eliminação (portas abertas,
possivel SO, uptime, etc). A versao mais nova pode falar a marca da placa de
rede, de acordo com o BD interno (funciona! testei num micro dell e apareceu
lá! :-))

Agora, sobre sua questão de remover o 'lease' de algum IP eu acho que não
dá. O DHCP é esperto, e se alguem estiver usando algum IP que ele iria
atribuir a um terceiro ele pega outro e deixa o primeiro cara em paz. A não
ser q vc faça uma regra de iptables no GW pra derrubar o cara de uma vez.

> aproveitando, uma perguntinha: há algum comando para limpar os syslog e 
> o kern.log? meu micro é lento e toda vez que tento filtra-lo por datas 
> ele leva uma eternidade... gostaria de limpa-lo diarimanete.

Bom, isso é um problema: toda distro hj em dia *tem* que ter algum esquema
de rotate dos logs - no caso do debian, eu acho meio tosqueira, mas é feito
com ums jobs cron. Isso foi discutido algum tempo atras na lista, depois de
uma olhada no histórico.


--
Marcos Lazarini