Hola a todos: me gustaria si alguien es tan amable y sabe dar una respueproblema me ayudara.... Imaginate una red LAN con varias PC por ejemplo 50 (aqui son al rededor de 600) el acceso a internet es por proxy con squid pero no todas las pc tienen derecho de pasar por el proxy es decir el acceso es por ip, las ip se reparten por DHCP a las que tienen acceso a internet el ip se le pone estatico con DHCP relacionando la MAC con el ip que le quieres dar, las demas maquinas es dinammico y como es logico no pueden pasar por el proxy porque no estan en las lista de acceso de squid. Hay personas que cojen la MAC de las que tienen acceso a internet se la ponen a otra PC que no tiene acceso al hacer esto el DHCP ve que la MAC cambio y le da la estatica que le pertenese a la verdadera maquina y puede pasar por el proxy, aqui viene la duda: como puede ser que las dos maquina esten con la misma ip y MAC en la misma LAN si dar conflicto de ip, ahora eso si la maquina que debe de tener la ip verdadera comienza a ponerce lenta y hasta se le llega a perder la connecion pero no da conflicto de ip.
Saludos.
Bienvenido al mundo de la carrera armamentista entre los usuarios y el administrador de red.
En el mundo de las politicas por ip/mac para navegación en una lan la tenemos perdida, dado que los usuarios eventualmente aprenden a hacer lo que tus usuarios estan haciendo. No da conflicto de IP porque la MAC a la que esta registrada el IP es la misma MAC de la tarjeta que pregunta. En condiciones normales esto jamás debería ocurrir por cuanto la operación de la red ethernet se basa en que no hay direcciones MAC duplicadas.
Si persistes en este enfoque tienes las siguientes soluciones:
1) Quítale los privilegios de administrador al usuario o los permisos necesarios para modifcar la configuración de red. Con un AD o un SAMBA supongo que hay una forma sencilla y global de hacerlo.
2) Si tu red es cableada y tienes switchs administrables coloca los puertos en modo "autolearn" y que aprendan una sola MAC. Por más que la cambien, eso no les va a servir de nada.
3) Si tu red es cableada y tienes switchs administrables asigna la mac al puerto manualmente.
En realidad, la mejor alternativa es abandonar ese enfoque y empezar a manejar login/password para autorizar la navegación. Es un desgaste innecesario para redes grandes manejar números MAC en las configuraciones. Es preferible usar VLANs y segmentar. En los únicos ambientes donde el uso de números MAC es justificable es, o en ambientes pequeños o en ambientes donde la seguridad y la proteccion ante ataques de red es un factor importante, en cuyo caso se implementan las soluciones 2 y 3 mencionadas previamente.
Hasta la proxima.
Carlos Andrés Martínez
2010/9/1 jib8601@gmail.com:
Hola a todos: me gustaria si alguien es tan amable y sabe dar una respueproblema me ayudara.... Imaginate una red LAN con varias PC por ejemplo 50 (aqui son al rededor de 600) el acceso a internet es por proxy con squid pero no todas las pc tienen derecho de pasar por el proxy es decir el acceso es por ip, las ip se reparten por DHCP a las que tienen acceso a internet el ip se le pone estatico con DHCP relacionando la MAC con el ip que le quieres dar, las demas maquinas es dinammico y como es logico no pueden pasar por el proxy porque no estan en las lista de acceso de squid. Hay personas que cojen la MAC de las que tienen acceso a internet se la ponen a otra PC que no tiene acceso al hacer esto el DHCP ve que la MAC cambio y le da la estatica que le pertenese a la verdadera maquina y puede pasar por el proxy, aqui viene la duda: como puede ser que las dos maquina esten con la misma ip y MAC en la misma LAN si dar conflicto de ip, ahora eso si la maquina que debe de tener la ip verdadera comienza a ponerce lenta y hasta se le llega a perder la connecion pero no da conflicto de ip. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El 01/09/2010 03:48 p.m., jib8601@gmail.com escribió:
Hola a todos: me gustaria si alguien es tan amable y sabe dar una respueproblema me ayudara.... Imaginate una red LAN con varias PC por ejemplo 50 (aqui son al rededor de 600) el acceso a internet es por proxy con squid pero no todas las pc tienen derecho de pasar por el proxy es decir el acceso es por ip, las ip se reparten por DHCP a las que tienen acceso a internet el ip se le pone estatico con DHCP relacionando la MAC con el ip que le quieres dar, las demas maquinas es dinammico y como es logico no pueden pasar por el proxy porque no estan en las lista de acceso de squid. Hay personas que cojen la MAC de las que tienen acceso a internet se la ponen a otra PC que no tiene acceso al hacer esto el DHCP ve que la MAC cambio y le da la estatica que le pertenese a la verdadera maquina y puede pasar por el proxy, aqui viene la duda: como puede ser que las dos maquina esten con la misma ip y MAC en la misma LAN si dar conflicto de ip, ahora eso si la maquina que debe de tener la ip verdadera comienza a ponerce lenta y hasta se le llega a perder la connecion pero no da conflicto de ip. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Te puedo recomendar, algo tedioso para 600 PC, aunque espero no sean todas las que tengan internet, es ademas de autenticar la MAC, autentiques la sesion del dominio o cualquier otra autenticacion.
Lo deberias parear, por ejemplo,una lista para los usuarios que acceden desde una MAC determinada, y luego haces otra ACL donde este la MAC
acl usuario1 proxy_auth juan acl mac1 arp 00:00:00:00:00:00
http_access allow usuario1 mac1 ... http_access deny all
Es imposible que pueda salir a internete a a maquina que tiene diferente mac , recuerda que la mac es unica e irrepetible, tendras que cazar bien la mac de la tarjeta de red y checar bien las politicas en el squid ... mm no creo que los usuarios que usan windows usen programas para clonar la mac como se hace en linux ..
El 01/09/2010 05:20 p.m., Yoinier Hernandez Nieves escribió:
El 01/09/2010 03:48 p.m., jib8601@gmail.com escribió:
Hola a todos: me gustaria si alguien es tan amable y sabe dar una respueproblema me ayudara.... Imaginate una red LAN con varias PC por ejemplo 50 (aqui son al rededor de 600) el acceso a internet es por proxy con squid pero no todas las pc tienen derecho de pasar por el proxy es decir el acceso es por ip, las ip se reparten por DHCP a las que tienen acceso a internet el ip se le pone estatico con DHCP relacionando la MAC con el ip que le quieres dar, las demas maquinas es dinammico y como es logico no pueden pasar por el proxy porque no estan en las lista de acceso de squid. Hay personas que cojen la MAC de las que tienen acceso a internet se la ponen a otra PC que no tiene acceso al hacer esto el DHCP ve que la MAC cambio y le da la estatica que le pertenese a la verdadera maquina y puede pasar por el proxy, aqui viene la duda: como puede ser que las dos maquina esten con la misma ip y MAC en la misma LAN si dar conflicto de ip, ahora eso si la maquina que debe de tener la ip verdadera comienza a ponerce lenta y hasta se le llega a perder la connecion pero no da conflicto de ip. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Te puedo recomendar, algo tedioso para 600 PC, aunque espero no sean todas las que tengan internet, es ademas de autenticar la MAC, autentiques la sesion del dominio o cualquier otra autenticacion.
Lo deberias parear, por ejemplo,una lista para los usuarios que acceden desde una MAC determinada, y luego haces otra ACL donde este la MAC
acl usuario1 proxy_auth juan acl mac1 arp 00:00:00:00:00:00
http_access allow usuario1 mac1 ... http_access deny all
Saludos.
Cambiar la MAC en Windows no es nada complicado, existen cientos de tutoriales en Internet sobre cómo hacerlo y para conocer la MAC e IP de los vecinos basta con ejecutar desde el cmd un simple arp -a. Para buscar herramientas gráficas y manuales de como hacerlo basta escribir en google: cambiar mac + windows
Todo se basa en la motivación y no hay nada como el deseo de 'libertad', para buscar formas de saltarse las prohibiciones de la navegación. Todo empieza generalmente con un comentario del administrador, un usuario inquieto y otro que vio lo que hizo el primero y que decidió 'socializar' la solución ya sea porque considera injusto que restrinjan su libertad, no le simpatiza el administrador o pretende demostrar la inutilidad de restringir el libre acceso a Internet cuando los recursos se pueden enfocar en solucionar 'problemas más acuciantes e importantes para la organización', o simplemente, le pareció entretenido.
Siempre esta clase de restricciones deben estar acompañadas por la Gerencia, con políticas y reglas claras que los usuarios hayan aceptado formalmente, por aquello de los problemas legales y demandas a los que puede enfrentarse la organización (y por ende entran aquí los abogados).
En empresas pequeñas una simple conversación entre colegas de "Oye, no veas porno en horarios laborales" o "mira que estos reportes de navegación van a la gerencia/dueño de la empresa" surten efecto. Si tienes 600 equipos como en el caso del colistero que plantea el problema original, si no hay reglas formales y claras para todos, se están enfrentando a un posible problema legal y a agrios enfrentamientos entre compañeros de trabajo.
Esta clase de problemas se mitiga en gran medida desde el punto de vista técnico (cambiar de enfoque cuando lo que hay ya no funciona), pero existe un margen en donde el manejo a través de RRHH y gerencia debe darse, sobre todo cuando los usuarios malintencionados y reincidentes deben ser castigados con anotaciones al CV o despido ya que aplicar bloqueos en los servicios de red, en general, perjudican más al administrador de la red que al empleado travieso.
Hasta la próxima.
Podes fijar las ip por mac en el DHCP dividiendo en dos redes con internet y sin internet. Dado que asigna ip fijas a la pc cliente atrabes de la mac. te paso como dividir las redes. Fer
ddns-update-style none; option domain-name "##dominio###"; option domain-name-servers ##IP##; default-lease-time 50400; max-lease-time 53400; authoritative; log-facility local7; shared-network RED { subnet IP## netmask 255.255.255.224 { option broadcast-address IP##; option routers ipred1##; pool { deny unknown-clients; range IP##red1; } } subnet IP## netmask 255.255.255.224 { option broadcast-address IPred2##; option routers ip##; pool { deny unknown-clients; range Ips#red2; } } group { host red1 { hardware ethernet ###mac##; fixed-address IP##; } } # This is a very basic subnet declaration. group { host red2{ hardware ethernet ##MAC##; fixed-address #ip; } }
El 01/09/2010 09:51 p.m., Lic. Domingo Varela Yahuitl. escribió:
Es imposible que pueda salir a internete a a maquina que tiene diferente mac , recuerda que la mac es unica e irrepetible, tendras que cazar bien la mac de la tarjeta de red y checar bien las politicas en el squid ... mm no creo que los usuarios que usan windows usen programas para clonar la mac como se hace en linux ..
El 01/09/2010 05:20 p.m., Yoinier Hernandez Nieves escribió:
El 01/09/2010 03:48 p.m., jib8601@gmail.com escribió:Hola a todos: me gustaria si alguien es tan amable y sabe dar una respueproblema me ayudara.... Imaginate una red LAN con varias PC por ejemplo 50 (aqui son al rededor de 600) el acceso a internet es por proxy con squid pero no todas las pc tienen derecho de pasar por el proxy es decir el acceso es por ip, las ip se reparten por DHCP a las que tienen acceso a internet el ip se le pone estatico con DHCP relacionando la MAC con el ip que le quieres dar, las demas maquinas es dinammico y como es logico no pueden pasar por el proxy porque no estan en las lista de acceso de squid. Hay personas que cojen la MAC de las que tienen acceso a internet se la ponen a otra PC que no tiene acceso al hacer esto el DHCP ve que la MAC cambio y le da la estatica que le pertenese a la verdadera maquina y puede pasar por el proxy, aqui viene la duda: como puede ser que las dos maquina esten con la misma ip y MAC en la misma LAN si dar conflicto de ip, ahora eso si la maquina que debe de tener la ip verdadera comienza a ponerce lenta y hasta se le llega a perder la connecion pero no da conflicto de ip. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Te puedo recomendar, algo tedioso para 600 PC, aunque espero no sean todas las que tengan internet, es ademas de autenticar la MAC, autentiques la sesion del dominio o cualquier otra autenticacion.
Lo deberias parear, por ejemplo,una lista para los usuarios que acceden desde una MAC determinada, y luego haces otra ACL donde este la MAC
acl usuario1 proxy_auth juan acl mac1 arp 00:00:00:00:00:00
http_access allow usuario1 mac1 ... http_access deny all
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
__________ Information from ESET Mail Security, version of virus signature database 5416 (20100901) __________
The message was checked by ESET Mail Security. http://www.eset.com
Se certificó que el correo entrante no contiene virus. Comprobada por AVG - www.avg.es Versión: 9.0.851 / Base de datos de virus: 271.1.1/3105 - Fecha de la versión: 08/31/10 15:34:00
__________ Information from ESET Mail Security, version of virus signature database 5434 (20100908) __________
The message was checked by ESET Mail Security. http://www.eset.com
-
Carlos Martinez -
Fernando D. Molina -
jib8601@gmail.com -
Lic. Domingo Varela Yahuitl. -
Yoinier Hernandez Nieves