Utilizando Filtros de MAC Address no DHCP Infoblox

6 de janeiro de 2016

Uma preocupação sempre presente para os administradores de rede é controlar quem pode acessar algo e quem não pode. Ter o controle disso em mãos pode garantir a confiabilidade do ambiente e sua falta pode fazer tudo fugir do controle.

O Infoblox possui diversos filtros que podem ser utilizados para manipular ou impedir o acesso de um usuário para uma determinada rede. Isso pode ser utilizado para acrescentar uma camada de segurança adicional no ambiente, filtrando clientes logo na porta de entrada da rede: o DHCP.

Vamos demonstrar abaixo como criar um Filtro de MAC Address para impedir o acesso de um cliente à uma rede.
Para iniciar a configuração, precisamos saber em qual rede vamos aplicar o filtro. No nosso exemplo, vamos utilizar a rede 192.168.100.0/24.

Vamos efetuar login no Infoblox.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox01

Nosso primeiro passo é criar o Filtro IPv4. Este item armazenará os itens que serão bloqueados/liberados na rede. Vamos navegar até Data Management > DHCP > IPV4 FIlters.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox02

Em seguida, clique em Add e selecione a opção IPv4 MAC Address Filter, conforme destacado abaixo.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox03

O Wizard para criação do filtro é exibido em seguida. Preencha esta primeira tela com o nome do filtro e um comentário, conforme exibido abaixo.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox04

A proxima tela é interessante. Nela podemos definir parametros adicionais que serão automaticamente fornecidos ao cliente DHCP no momento do DHCPREQUEST, tais como options e Lease Time diferenciado. Isso é especialmente util nas ocasiões onde o objetivo não é bloquear o acesso, mas sim fornecer opções diferenciadas à ele (como um Lease Time maior, por exemplo).

Para o nosso exemplo, não é necessario fornecer nenhuma destas opções. Mantenha as opções e clique em Next conforme exibido abaixo.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox05

Na tela a seguir, é possivel configurar um tempo de duração do bloqueio/liberação. Vamos supor que nossa regra seja permanente selecionando “Never Expires”. Note que no exemplo abaixo, deixamos a caixa “Enabled” desmarcada de propósito. Vamos utilizá-la para demonstrar o funcionamento das configurações mais à frente. Clique em Save & Close ao término da configuração.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox06

Agora, nosso trabalho é acrescentar os MAC Address que vão ser bloqueados, ou seja, não receberão ofertas de IP (DHCPOFFER para os mais chegados) ao enviar requisições de DHCP para o Infoblox (DHCPREQUEST).

Nota: Você pode encontrar mais sobre estas nomenclaturas na RFC do DHCP: https://www.ietf.org/rfc/rfc2131.txt

De volta à tela de IPv4 Filters, localize a Toolbar do lado direito e clique na seta à direita do botão “Add”. Selecione em seguida a opção “MAC Address Filter Item”, conforme destacado abaixo.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox07

Vamos utilizar o MAC Address do cliente Debian abaixo. Tenha o seu em mãos.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox08008

No Wizard, clique em “Select Filter” e selecione o Filtro criado no passo anterior. Caso ele seja o único, será adicionado automaticamente após o clique.

Em “MAC Address” insira o MAC do host. Insira algum comentário em seguida (opcional).

Em Expiration Time selecione se este item será permanente (Never Expires) ou se ele irá expirar após um determinado período de tempo. Vamos utilizar “Never Expires” para este exemplo.

Clique em Save & Close ao término da configuração.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox09

De volta a tela de IPV4 Filters, clique no filtro para ver o item criado. Ele será exibido conforme exemplo abaixo.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox10

Filtros sempre são atrelados às redes ou ranges. Neste caso, vamos atrelar este filtro ao Range dentro da rede 192.168.100.0/24. Navegue até Data Management > DHCP > Networks.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox11

Clique na rede desejada.

Selecione o range e clique em Edit.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox13

Clique em Toogle Advanced Mode para habilitar os controles avançados do menu.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox14

Em seguida, clique em IPv4 Filters.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox15

Em “Class Filter List”, clique em Add e selecione o filtro criado anteriormente. Ele será adicionado automaticamente, caso seja o único.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox16

Após adicioná-lo, clique em “Grant Lease” abaixo de Action e mude para “Deny Lease”. Esta configuração vai garantir que todos os endereços MAC dentro deste filtro não receberão leases fornecidos pelo Infoblox. Clique em Save & Close ao término da configuração.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox17

Note que ao fim do procedimento, o Infoblox solicitará o restart do serviço de DHCP. Proceda de acordo.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox18

Agora, lembrando que o filtro está desativado nas configurações, vamos sair um pouco do Infoblox e vamos ao nosso host. Abaixo, temos um cliente Debian com a interface eth0 definida para receber configuração automática do DHCP. Vamos reiniciar o serviço de networking e subir manualmente a interface eth0 para garantir que até o momento, o cliente é capaz de obter IPs do Infoblox.

A imagem abaixo exibe o restart do serviço. Note que o IP da interface eth0 foi devolvido ao DHCP Infoblox via DHCPRELEASE.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox19

Agora, subindo manualmente a interface, vemos que ela recebeu uma oferta do IP 192.168.100.100 (DHCPOFFER) e solicitou a entrega do IP ofertado (DHCPREQUEST), transação confirmada logo em seguida pelo DHCP via DHCPACK.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox20

Agora, hora de ativar o filtro. Navegue até Data Management > DHCP > IPv4 Filters.

 

Selecione o Filtro criado e clique em Edit.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox21

Agora, basta selecionar “Enabled” e clicar em Save & Close.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox22

Novamente, efetue o restart do serviço.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox23

Agora, vamos voltar ao Debian. Novamente, vamos reiniciar o serviço de networking do cliente. Note novamente que a interface liberou o IP fornecido logo acima.
2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox24

Só que agora, ao subir manualmente a interface vemos que o cliente tenta por diversas vezes realizar o DHCPDISCOVER para localizar o DHCP Server. Após algumas tentativas, ele desiste por não receber pacotes com DHCPOFFER.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox25

Navegando até Administration > Logs > Syslog e selecionando o membro que serve o range para o ambiente, identificamos que os pacotes com DHCPDISCOVER chegam ao Infoblox, porém o Infoblox sabe que entregar IP à este cliente não é aplicável e termina a comunicação com “no free leases”.

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox26

2015_01_Utilizando_Filtro_de_MAC_Address_no_DHCP_Infoblox27

Os filtros podem receber diversas customizações para serem aplicáveis em diversos cenários. Em vez de bloquear, é possível permitir e aplicar configurações diferentes para estes clientes, como por exemplo, numa rede de Guest. Podemos também fitrar esses clientes pelas opções que eles solicitam e destiná-los a ranges específicos, citando novamente o exemplo da Rede Guest. As combinações são amplas e se adaptam à grande parte das necessidades cotidianas que os administradores possuem, sem mudar radicalmente a estrutura das redes e a organização do ambiente. Nos vemos no próximo artigo!

Posts relacionados