Reconhecimento da máquina ou dispositivo para libera o acesso ao Sistema

ScriptCase Versão 6
#1

Caros Amigos,

Estava pensando se seria possível, ao entrar no sistema o Scriptcase ter uma função para reconhecer qual o Hardware que esta acessando o sistema, para melhorar a segurança de acesso ao sistema.

Exemplo:
Dentro da empresa temos 10 computadores e todos podem acessar o sistema que esta na Web, porém caso tiver um funcionário de folga, ou licença da sua casa ele não poderia ter acesso ao sistema, precisaria estar dentro da empresa ou autorizado o acesso do dispositivo ou computador da sua residência previamente cadastrado.

Pensei se seria possível fazer o reconhecimento de um computador, igual a segurança do Banco do Brasil, para liberar o acesso do computador é necessário cadastrar o equipamento e ser liberado pelo Administrador, ele grava o ID do HD pelo que percebi.
No caso do ScriptCase alguém já conseguiu ?

Adeilson de Oliveira

#2

Adeilson bom dia,

Eu nunca tentei, mas creio que seja possível. Até porque o SC tem uma macro que te dá o IP que está acessando nesse momento. Agora poderias fazer o cadastro dos computadores, criando um serial pra cada um deles, armazenando o IP da máquina e assim fazer a checagem a cada login executado.

#3

Ideia:
Verifica o IP da sua rede e bloqueia todos que forem diferente dele!!

#4

Kleyber,

Eu fiz um teste desta maneira que vc passou o problema é que como o sistema esta na Web, e o cliente tem um roteador todas as máquinas internas da empresa tem o IP Classe C 192.168.1.xxx e o endereço que o log grava e que consigo pegar pelo SC na Web é o da Internet 200.80.xxx.xxx todos os usuários sai para a Internet por este IP e o SC pega ele para gravar. Caso o sistema estivesse em um servidor dentro da empresa creio que funcionaria.
Por isto a ideia de tentar pegar o ID do HD, ou algo do dispositivo para que eu conseguisse reconhecer através de um cadastro qual máquina esta acessando e se esta autorizada.

Adeilson de Oliveira

#5

Almeida,

Agradeço a sua ajuda, porém tem os diretores que podem ter acesso de fora da rede, eles tem os notebook e tablet que tem direitos de acesso.

Adeilson de Oliveira

#6

  1. Usando PHP (Cookie)
    Você vai ter que criar um setup.php que você vai usar ou o gerente responsável pelo seu sistema na empresa, ai é só entrar neste setup.php que vai estar na raiz do seu site com uma senha mestre, e com 1 campo NOME_COMPUTADOR, ai este setup.php vai gerar um cookie neste computador, quando for entrar no seu sistema o LOGIN além da senha vai checar esta variável cookie local NOME_COMPUTADOR se ela existir ele carrega ela e libera o acesso se não ele já retorna como ‘COMPUTADOR NÃO AUTORIZADO’ eu faço assim.

  2. Usando C++ / PHP
    Tem jeito também de fazer por BIOMETRIA, mais ai já é mais complicado, mas como programo em C++ da pra fazer um pequeno utilitário que fica no computador do cliente, ai ele lê a IDENTIDADE BIOMETICA, e já copia em uma pasta no site, usando FTP internamente, ai na hora do Login seu sistema PHP lê este arquivo autoriza o acesso ao usuário e apaga o arquivo via PHP que o C++ enviou para o site, ai quando o cliente for Logar novamente ele vai ter que passar pela biometria obrigatoriamente de novo.

Através do C++ da pra pegar qualquer coisa da máquina do cliente, SERIAL HD, MEMORIA, PLACA REDE, IP LOCAL, não tem limite, por isso
que aprendi essa linguagem. hehe

#7

Olá,

Apenas idéia, …
Que tal criar VPN nos equipamentos dos diretores ?, assim você elimina parte da situação …

Att,

Jocimar

#8

Voce já tentou login pelo LDAP?

#9

A ideia do Jailton é legal, o cara é fera.
Já a ideia do Kleyber também é muito interessante por isso eu usaria as duas da seguinte forma:
Criaria no meu BD uma tabela de acessos onde guardaria um “serial” para este usuário que seria gerado como o Jailton falou e esta tabela estaria relacionada com o cadastro do usuário, assim você teria um usuário para um ou vários seriais, assim tenho como verificar se o usuario se loga de uma maquina cadastrada, que horas logou, que IP usou e quando fez o logout. Todas as vezes que o usuário se loga eu guardo um log sabendo que ele esta se logando realmente daquela máquina.

É apenas uma dica de quem é “fissurado” por segurança como eu.

#10

Caros amigos agradeço as sugestões:
Jocimar, para a VPN eu precisaria ver se o Provedor tem algum pacote para liberar a VPN, porém eu teria o problema com os celulares e Tablet para acesso pois alguns programas não são compatíveis

Jovito, a sugestão da LDAP, também é boa pois eu poderia verificar o cadastro para a liberação porém a autenticação seria 10 e como eu controlaria via LDAP para saber se ele esta o equipamento dentro da empresa ou fora da empresa? Pois eu tenho um diretor que acessa de fora da empresa com Tablet ou celular, e a rede que ele esta pode ser com IP variável?

Jaiton e HEBERVAL SOUSA -> Esta sugestão do PHP Cookie gostei, pelo que eu compreendi, o setup.php, terá os nomes das máquinas que serão liberadas? No celular será possível também acessar?

Muito Obrigado a todos
Adeilson de Oliveira

#11

Bom dia Colegas,

Estou chegando um pouco tarde nesse tópico mas é um assunto do qual já implementei algumas soluções que tem atendido.

Pergunto: Cada usuário tem sua estação de trabalho? Não existe a possibilidade de outro usuário ter que acessar o sistema por um equipamento que não seja o dele?

O IP da WAN é fixo?

#12

Como vai amigo?
Haroldo, o sistema fica na nuvem em um provedor, a rede do cliente o IP não é fixo, o link é da Net e tem semana que o IP muda umas 4 vezes. A rede do cliente interna é classe C (192.168.1.xxx).
O cliente tem alguns gerentes e diretores que tem acesso ao sistema via seu tablet, note, e celular.

Um dos meus problemas é bloquear o acesso de pessoas que não possam usar o sistema fora do escritório com equipamentos pessoas, exemplo:
Mesmo a secretário com todo o poder que ele tem, ela não poderia ter acesso de fora da empresa da casa dela por exemplo.

Adeilson

#13

Faltou a resposta de uma das minhas perguntas, um equipamento poderá ser acessado por mais de um usuário?

Tenho alguns cenários que se completam, e você pode tentar usar as idéias de cada um deles ou todas:

  1. IP dinâmico:
    Pegar uma máquina da rede do cliente, (de preferência um máquina que fique ligada direto) e colocar no agendador do windows para rodar um script (app blank) no cloud de tempos em tempos.
    Esse script vai gravar o IP da wan do cliente numa tabela de parâmetros no cloud. Com isso você saberá qual ip do cliente.

2)Cadastro de usuários
Criar parâmetros, segunda a domingo, hora inicial, final acesso interno e hora inicial, final acesso externo para cada dia da semana, diferença de fuso horário.

Só com isso você consegue administrar se o usuário esta acessando de fora ou não, e tem como dizer quem acessa, de onde, em qual horário e em que dias da semana.

Tenho outros cenários, com um controle interno maior, funciona para um sistema de intranet. Mas a sugestão acima atende a solicitação descrita no tópico inicial.

#14

Via LDAP (apenas SC V7) tudo pode ser configurado via OS… inclusive se o usuário poderá acessar fora da DMZ.

#15

Jovito Melo,

Porém estou com a versão 6 ainda, porém o uso do Ldap no caso que vc mencionou seria para quando a aplicação esta interna no cliente? Pois quando ela esta no provedor e temos o acesso de vários lugares criar a DMZ com IP que não seja fixo também não daria certo correto?

Estou verificando a possibilidade do Usando PHP (Cookie), ainda parece que vou ter problema, estou formatando a melhor sugestão até o momento.
Caso tenha outra sugestão por favor será bem-vinda.

Adeilson

#16

Use o MAC adress da placa dele.

#17

O Cliente tem Celular e tablet também!

Mais é uma sugestão boa também!
Porém eu precisaria cadastrar todos os endereços de MAC dos dispositivos.

Adeilson

#18

Chef… em qualquer hipotese vc precisará cadastrar o equipamento dele… essa é a finalidade… garantir que o equipamento que acessará é realmente daquele usuário.

#19

Jean Matos,

Teria como o login do SC reconhecer a interface que esta se conectando, para que eu possa pegar através do Login o Mac? E assim como ADM cadastrar e liberar o acesso?
No SC tem algo que poderia ajudar ou no PHP?

Adeislon

#20

Apenas alguns comentários,

Jean - Usar MAC não é interessante uma vez que qualquer zé-ruela pode clonar o MAC…
Adesoft - DMZ (Zona Desmilitarizada) é uma rede que está entre a intranet (rede interna) e a internet (rede externa)… Não é aconselhável criar uma DMZ com IP não fixo (DHCP)…LDAP (Lightweight Directory Access Protocol) é um protocolo e você pode utilizá-lo tanto na intra, como na DMZ, como na internet.

Jean - Você já ouviu falar de MIB, MIBBROWSER? Se já, o caminho é por aí… Qualquer dispositivo de rede IP que suporte SNMP (Simple Network Management Protocol) pode ser gerenciado sem qualquer problema, entre eles: roteadores, switches, servidores, estações de trabalho, impressoras, modem, etc… todas as informações possíveis podem ser gerenciadas. Dessa forma, tudo que estiver numa rede IP pode ser reconhecido, bastando para isso que se utilize a ferramenta correta - por isso estou pedindo para você dar uma verificada no MIBBROWSER, caso você não conheça - normalmente o pessoal que trabalha com administração de redes conhece essa ferramenta.

Abraço a todos.