Adere - Levi / Suporte Linux wrote:
Pessoal uso DHCP na minha rede, mas as vezes chegam algumas pessoas com notebook, espetam seus notebook na minha rede e logo em seguinda eles ja adquiriram um numero ip, dns primario, secundario, gateway, entre outras coisas, queria saber se tem como barrar isso, quando a pessoa colocar o notebook na rede, não vai conseguir fazer nada, não vai obter ip, nada, teria como?
Olá Levi,
Pelo que eu saiba, a única maneira de você fazer isso no DHCP é restringir a obtenção dos IPs pelo endereço de hardware (MAC) da placa de rede. Assim você consegue associar certos IPs à certas placas específicas, e as que não estão cadastradas no DHCP não vão pegar IP.
A desvantagem desse método é que além dele não resolver totalmente o problema de "segurança", você vai ter que ficar controlando os MACs das placas, ou seja, cada vez que se troca um MAC, você terá que mudar a configuração do DHCP colocando o novo MAC e tudo mais. Isso dá mais trabalho para manutenção, e quanto maior a rede, pior.
De qualquer maneira, você pode fazer o inverso: Não deixar certos MACs passarem na rede. Para isso você pode fazer em um firewall iptables para negar todos os pacotes de algum endereço MAC.
Mas mesmo dessas maneiras, o cara pode chegar com um notebook, espetar na rede, fazer uns arp requests, descobrir a rede, e configurar manualmente os IPs e etc. Eu mesmo já fiz isso bastante :-)
Aí a solução seria um switch gerenciável que não deixe fazer esse tipo de coisa. É, segurança plena não existe, e quanto mais se chega perto, mais caro fica :)
Se quiser ajuda em algumas das soluções que falei, não deixe de falar.