View
8.744
Download
1
Category
Preview:
DESCRIPTION
Boa leitura
Citation preview
BLOQUEANDOBLOQUEANDOcomunicação comunicação entre clientesentre clientes
de uma rede localde uma rede localPor Patrick Brandão – TMSoftPor Patrick Brandão – TMSoft
www.tmsoft.com.br
Pré-requisitosPré-requisitos
►Conhecimento básico de Conhecimento básico de informáticainformática►Laboratório para práticaLaboratório para prática
Mikrotik RouterOSMikrotik RouterOSLinuxLinuxSwitchSwitchAccess PointAccess Point
Rede localRede local►Redes locais de computadoresRedes locais de computadores
São redes montadas de forma transparente, São redes montadas de forma transparente, onde não é necessário nenhuma configuração onde não é necessário nenhuma configuração para interconectar computadores fisicamente.para interconectar computadores fisicamente.
Secretaria 1Secretaria 2Switch
192.168.0.2192.168.0.3
192.168.0.4
Diretor
Switch
Crescimento plug-and-playCrescimento plug-and-play► Redes de camada 2 – Enlace - Switchs e bridges Redes de camada 2 – Enlace - Switchs e bridges
– crescem pela simples conexão física de cabos – crescem pela simples conexão física de cabos e associações em redes sem fio e associações em redes sem fio (APs/Repetidoras).(APs/Repetidoras).
Switch
Switch
Bridge Wireless
Bridge Wireless
SwitchSecretaria 1 Secretaria 1
Diretor
Analista Suporte
Cliente 1
Cliente 2
Rede compartilhadaRede compartilhada► Quando vários computadores estão em uma Quando vários computadores estão em uma
mesma rede local eles conseguem comunicação mesma rede local eles conseguem comunicação com todos os demais. Quadros (mac a mac) são com todos os demais. Quadros (mac a mac) são acessíveis para todos os computadores.acessíveis para todos os computadores.
Switch Bridge Wireless
SwitchSecretaria 1 Secretaria 1
Diretor
Cliente 1
Broadcast - ENVIOBroadcast - ENVIO► BROADCAST é um tipo de quadro enviado por um BROADCAST é um tipo de quadro enviado por um
computador e replicado pelos switchs e bridges em computador e replicado pelos switchs e bridges em todas as demais portas da rede local e é recebida por todas as demais portas da rede local e é recebida por todos os computadores ligados fisicamente a rede.todos os computadores ligados fisicamente a rede.
Bridge
Switch
Bridge Wireless
Bridge Wireless
Broadcast enviadoBroadcast Replicado Broadcast Replicado
Broadcast ReplicadoBroadcast Replicado
Broadcast Replicado
BroadcastReplicado
Broadcast - ExemploBroadcast - Exemplo► Suponha que há 4 computadores em rede pelo mesmo SWITCHSuponha que há 4 computadores em rede pelo mesmo SWITCH
Windows A – 192.168.0.2 mascara 255.255.255.0Windows A – 192.168.0.2 mascara 255.255.255.0 Windows B – 192.168.0.4 mascara 255.255.255.0Windows B – 192.168.0.4 mascara 255.255.255.0 Windows C – 172.16.0.2 mascara 255.255.255.0Windows C – 172.16.0.2 mascara 255.255.255.0 Windows D – 172.16.0.4 mascara 255.255.255.0Windows D – 172.16.0.4 mascara 255.255.255.0
► Broacast IP calculados automaticamente pelo S.O.:Broacast IP calculados automaticamente pelo S.O.: Windows A – 192.168.0.255Windows A – 192.168.0.255 Windows B – 192.168.0.255Windows B – 192.168.0.255 Windows C – 172.16.0.255Windows C – 172.16.0.255 Windows D – 172.16.0.255Windows D – 172.16.0.255
► Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma rede LÓGICA (mesmo endereço de broadcast IP) de A.rede LÓGICA (mesmo endereço de broadcast IP) de A.
Broadcast - RESPOSTABroadcast - RESPOSTA► Embora o BROADCAST atinja todos os computadores Embora o BROADCAST atinja todos os computadores
ligados a rede, apenas os computadores configurados ligados a rede, apenas os computadores configurados na mesma lógica - rede IP (cujos endereços de na mesma lógica - rede IP (cujos endereços de broadcast IP sejam iguais) irão responder.broadcast IP sejam iguais) irão responder.
Bridge
Switch
Broadcast ReplicadoBroadcast Replicado
BroadcastReplicado
Resposta
Windows A192.168.0.2
Windows C172.16.0.2
Windows B192.168.0.4
Windows D172.16.0.4
Broadcast ReplicadoBroadcast enviado
Broadcast - Broadcast - PROBLEMAPROBLEMA► Se o computador C mudar seu IP para a rede Se o computador C mudar seu IP para a rede
192.168.0.0/24 ele terá acesso a comunicação 192.168.0.0/24 ele terá acesso a comunicação da rede vizinha.da rede vizinha.
Bridge
Switch
Broadcast ReplicadoBroadcast Replicado
BroadcastReplicado
Resposta
Windows A192.168.0.2
Windows C192.168.0.7
Windows B192.168.0.4
Windows D172.16.0.4
Broadcast ReplicadoBroadcast enviado
Resposta
Resumo do método de isolamento Resumo do método de isolamento IPIP
► Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de IP/Máscara pode evitar paliativamente que eles se comuniquem, mas:IP/Máscara pode evitar paliativamente que eles se comuniquem, mas: Não prove segurançaNão prove segurança Não impede que outros computadores capturem os dados.Não impede que outros computadores capturem os dados. Não impede que outros usuários usem a rede para outro fins particulares ilicitos como:Não impede que outros usuários usem a rede para outro fins particulares ilicitos como:
►Compartilhar DVDs, arquivosCompartilhar DVDs, arquivos►Jogar CounterStrike e outros jogos em rede.Jogar CounterStrike e outros jogos em rede.►Usar impressoras de outros usuáriosUsar impressoras de outros usuários►Copiar ou destruir arquivos de outros usuários.Copiar ou destruir arquivos de outros usuários.
Solução: isolamento transparenteSolução: isolamento transparente► Embora os computadores sejam responsáveis por Embora os computadores sejam responsáveis por
enviar e receber os broadcasts, os verdadeiros enviar e receber os broadcasts, os verdadeiros culpados por permitir isso são os switchs e bridges culpados por permitir isso são os switchs e bridges que repassam esses broadcasts por caminhos que repassam esses broadcasts por caminhos proibidos.proibidos.
Switch
Servidor Cliente 1
Cliente 2
Caminho permitido
Caminho permitido CaminhoPROIBIDO
Produtos para isolamento Produtos para isolamento transparentetransparente
►Mikrotik cMikrotik como SWITH - RB450*, RB750*, RB800, RB1.100/1.200omo SWITH - RB450*, RB750*, RB800, RB1.100/1.200 Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem:Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem:
1 – Crie um bridge envolvendo todas as portas1 – Crie um bridge envolvendo todas as portas
2 – Em BRIDGE -> FILTER:2 – Em BRIDGE -> FILTER:
Em “forward”, interface de entrada ether1 ACTION ACCEPTEm “forward”, interface de entrada ether1 ACTION ACCEPT
Em “forward”, interface de saida ether1 ACTION ACCEPTEm “forward”, interface de saida ether1 ACTION ACCEPT
em “forward”, ACTION DROPem “forward”, ACTION DROP
3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, 3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, bloqueando a comunicação entre as demais portas clientes.bloqueando a comunicação entre as demais portas clientes.
Produtos para isolamento Produtos para isolamento transparentetransparente
Servidor
Ether1
RouterBroad
Produtos para isolamento Produtos para isolamento transparentetransparente
►Mikrotik cMikrotik como Acess Pointomo Acess Point Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um
cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cartão.cartão.
Proibido B - Se o AP possuir 2 ou mais cartões em modo AP-Bridge, aplique as regras Proibido B - Se o AP possuir 2 ou mais cartões em modo AP-Bridge, aplique as regras em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com clientes do outro cartão.clientes do outro cartão.
AP-Bridge Wireless
Servidor
CaminhoProibido B
CaminhoProibido A
Produtos para isolamento Produtos para isolamento transparentetransparente
► Switch CompexSwitch Compex Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall.Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall. Produto barato, simples de configurar.Produto barato, simples de configurar. Desvantagens:Desvantagens:
►Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas.Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas.►Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel
alterar a configuração sem estar autorizado.alterar a configuração sem estar autorizado.
ResumoResumo►O método de restrição via SWITCH/BRIDGE permite que você:O método de restrição via SWITCH/BRIDGE permite que você:
Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador consiga se comunicar com outros exceto o servidor de internet.consiga se comunicar com outros exceto o servidor de internet.
Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a rede mais rápida.rede mais rápida.
Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes.Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes. Bloqueia totalmente a comunicação entre clientes.Bloqueia totalmente a comunicação entre clientes.
Mais informações:Mais informações:
►www.tmsoft.com.br - Site da TMSoft - Site da TMSoft Soluções.Soluções.
►Livro REDE DE COMPUTADORES quinta Livro REDE DE COMPUTADORES quinta edição.edição.
Obrigado pela atenção!Patrick Brandão
Recommended