Esta proteção oferece uma barreira maior se segurança contra IPs spoofing evitando que pessoas mal intencionadas façam um IP spoofing da máquina para obter acessos privilegiados que somente o detentor original do MAC/IP teria. Recomendo não levar em consideração que isto seja a solução definitiva contra IP spoofing, pois é possível falsificar o MAC address de uma interface para tomar outra identidade.
Este método poderá ser aplicado para fornecer um maior laço de confiança por hardware entre as máquinas que compõem uma rede de servidores. Ele também evita mesmo que uma máquina configurada de forma errônea tenha acesso indevido ao servidor ou em uma situação extrema, se torne o gateway da rede.
Para restringir as conexões para uma máquina Linux por MAC address, utilize o firewall iptables. Com ele será permitido fazer a restrição por serviços, criando uma barreira bastante chata para crackers tentarem se conectar a um serviço. Como referência, leia a seção “Especificando o endereço MAC da interface”.
Outra situação é a restrição por par MAC/IP usando o próprio cache arp da
máquina, usando entradas estáticas de endereços. Um exemplo deste uso é quando
você é extremamente paranóico ou quando uma rede que utiliza algum método de
autenticação baseado no rhosts
(como é o caso do sistema
de backup do Amanda), então é importante dizer para as
máquinas servidoras, qual o MAC address/IP privilegiado que terá o acesso ao
usuário para conexão sem senha.
O local padronizado para definir um MAC estático (e bastante desconhecido da
maioria dos administradores de sistemas) é o /etc/ethers
.
O formato deste arquivo é o MAC Address
e
IP
separados por espaço, cada linha com uma nova entrada de
MAC Address. Veja o exemplo:
00:03:47:AA:AA:AB www.focalinux.org.br 00:03:47:BB:AA:BA www2.focalinux.org.br 00:03:47:BB:AA:BB 192.168.0.1
Caso não conheça o formato do endereço de MAC Address, os três primeiros 3 campos definem o fabricante da placa de rede, e os 3 últimos é uma identificação única do fabricante para a Placa, ou seja, NENHUMA placa de rede fabricada tem o mesmo MAC Address físico.
Para que o comando arp crie as entradas estáticas no seu
cache ARP, será necessário executar o comando arp -f
/etc/ethers
. Este comando poderá ser colocado em algum script ou
diretório de inicialização de sua distribuição para que seja executado
automaticamente (como por exemplo, no /etc/rc.boot
da
Debian). Digitando arp
você verá as
linhas definidas no arquivo /etc/ethers
marcadas com as
opção (flag) M
(manual/permanente). Outra forma de
verificar, é usando o arp -a máquina
ou somente arp
-a
. As máquinas especificadas estaticamente (manualmente) terão o
nome PERM
listados (cache arp permanente).
OBS: Como deve ter notado, a restrição por MAC Address implica em um aumento no trabalho de gerenciamento das configurações. Assim, planeje-se para que esta tarefa não seja desgastante, crie programas para realizar atualizações dinâmicas estudando a estrutura de sua rede e como suas máquinas se comunicam para não ter problemas obscuros quando tiver que fazer uma simples modificação em uma interface de rede :)
Uma boa configuração restritiva requer análise sobre os impactos na rede.
Copyright © 1999-2020 - Gleydson Mazioli da Silva