A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

BLOQUEANDO comunicação entre clientes de uma rede local Por Patrick Brandão – TMSoft www.tmsoft.com.br.

Apresentações semelhantes


Apresentação em tema: "BLOQUEANDO comunicação entre clientes de uma rede local Por Patrick Brandão – TMSoft www.tmsoft.com.br."— Transcrição da apresentação:

1 BLOQUEANDO comunicação entre clientes de uma rede local Por Patrick Brandão – TMSoft

2 Pré-requisitos Conhecimento básico de informática Conhecimento básico de informática Laboratório para prática Laboratório para prática Mikrotik RouterOS Mikrotik RouterOS Linux Linux Switch Switch Access Point Access Point

3 Rede local Redes locais de computadores Redes locais de computadores São redes montadas de forma transparente, onde não é necessário nenhuma configuração para interconectar computadores fisicamente. São redes montadas de forma transparente, onde não é necessário nenhuma configuração para interconectar computadores fisicamente. Secretaria 1 Secretaria 2Switch Diretor Switch

4 Crescimento plug-and-play Redes de camada 2 – Enlace - Switchs e bridges – crescem pela simples conexão física de cabos e associações em redes sem fio (APs/Repetidoras). Redes de camada 2 – Enlace - Switchs e bridges – crescem pela simples conexão física de cabos e associações em redes sem fio (APs/Repetidoras). Switch Bridge Wireless Switch Secretaria 1 Diretor Analista Suporte Cliente 1 Cliente 2

5 Rede compartilhada Quando vários computadores estão em uma mesma rede local eles conseguem comunicação com todos os demais. Quadros (mac a mac) são acessíveis para todos os computadores. Quando vários computadores estão em uma mesma rede local eles conseguem comunicação com todos os demais. Quadros (mac a mac) são acessíveis para todos os computadores. Switch Bridge Wireless Switch Secretaria 1 Diretor Cliente 1

6 Broadcast - ENVIO BROADCAST é um tipo de quadro enviado por um computador e replicado pelos switchs e bridges em todas as demais portas da rede local e é recebida por todos os computadores ligados fisicamente a rede. BROADCAST é um tipo de quadro enviado por um computador e replicado pelos switchs e bridges em todas as demais portas da rede local e é recebida por todos os computadores ligados fisicamente a rede. Bridge Switch Bridge Wireless Broadcast enviado Broadcast Replicado Broadcast Replicado

7 Broadcast - Exemplo Suponha que há 4 computadores em rede pelo mesmo SWITCH Suponha que há 4 computadores em rede pelo mesmo SWITCH Windows A – mascara Windows A – mascara Windows B – mascara Windows B – mascara Windows C – mascara Windows C – mascara Windows D – mascara Windows D – mascara Broacast IP calculados automaticamente pelo S.O.: Broacast IP calculados automaticamente pelo S.O.: Windows A – Windows A – Windows B – Windows B – Windows C – Windows C – Windows D – Windows D – Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma rede LÓGICA (mesmo endereço de broadcast IP) de A. Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma rede LÓGICA (mesmo endereço de broadcast IP) de A.

8 Broadcast - RESPOSTA Embora o BROADCAST atinja todos os computadores ligados a rede, apenas os computadores configurados na mesma lógica - rede IP (cujos endereços de broadcast IP sejam iguais) irão responder. Embora o BROADCAST atinja todos os computadores ligados a rede, apenas os computadores configurados na mesma lógica - rede IP (cujos endereços de broadcast IP sejam iguais) irão responder. Bridge Switch Broadcast Replicado Broadcast Replicado Resposta Windows A Windows C Windows B Windows D Broadcast Replicado Broadcast enviado

9 Broadcast - PROBLEMA Se o computador C mudar seu IP para a rede /24 ele terá acesso a comunicação da rede vizinha. Se o computador C mudar seu IP para a rede /24 ele terá acesso a comunicação da rede vizinha. Bridge Switch Broadcast Replicado Broadcast Replicado Resposta Windows A Windows C Windows B Windows D Broadcast Replicado Broadcast enviado Resposta

10 Resumo do método de isolamento IP Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de IP/Máscara pode evitar paliativamente que eles se comuniquem, mas: Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de IP/Máscara pode evitar paliativamente que eles se comuniquem, mas: Não prove segurança Não prove segurança Não impede que outros computadores capturem os dados. Não impede que outros computadores capturem os dados. Não impede que outros usuários usem a rede para outro fins particulares ilicitos como: Não impede que outros usuários usem a rede para outro fins particulares ilicitos como: Compartilhar DVDs, arquivos Compartilhar DVDs, arquivos Jogar CounterStrike e outros jogos em rede. Jogar CounterStrike e outros jogos em rede. Usar impressoras de outros usuários Usar impressoras de outros usuários Copiar ou destruir arquivos de outros usuários. Copiar ou destruir arquivos de outros usuários.

11 Solução: isolamento transparente Embora os computadores sejam responsáveis por enviar e receber os broadcasts, os verdadeiros culpados por permitir isso são os switchs e bridges que repassam esses broadcasts por caminhos proibidos. Embora os computadores sejam responsáveis por enviar e receber os broadcasts, os verdadeiros culpados por permitir isso são os switchs e bridges que repassam esses broadcasts por caminhos proibidos. Switch Servidor Cliente 1 Cliente 2 Caminho permitido Caminho PROIBIDO

12 Produtos para isolamento transparente Mikrotik c omo SWITH - RB450*, RB750*, RB800, RB1.100/1.200 Mikrotik c omo SWITH - RB450*, RB750*, RB800, RB1.100/1.200 Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem: Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem: 1 – Crie um bridge envolvendo todas as portas 1 – Crie um bridge envolvendo todas as portas 2 – Em BRIDGE -> FILTER: 2 – Em BRIDGE -> FILTER: Em forward, interface de entrada ether1 ACTION ACCEPT Em forward, interface de entrada ether1 ACTION ACCEPT Em forward, interface de saida ether1 ACTION ACCEPT Em forward, interface de saida ether1 ACTION ACCEPT em forward, ACTION DROP em forward, ACTION DROP 3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, bloqueando a comunicação entre as demais portas clientes. 3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, bloqueando a comunicação entre as demais portas clientes.

13 Produtos para isolamento transparente Servidor Ether1 RouterBroad

14 Produtos para isolamento transparente Mikrotik c omo Acess Point Mikrotik c omo Acess Point Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cartão. Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cartão. Proibido B - Se o AP possuir 2 ou mais cartões em modo AP- Bridge, aplique as regras em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com clientes do outro cartão. Proibido B - Se o AP possuir 2 ou mais cartões em modo AP- Bridge, aplique as regras em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com clientes do outro cartão. AP-Bridge Wireless Servidor Caminho Proibido B Caminho Proibido A

15 Produtos para isolamento transparente Switch Compex Switch Compex Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall. Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall. Produto barato, simples de configurar. Produto barato, simples de configurar. Desvantagens: Desvantagens: Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas. Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas. Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel alterar a configuração sem estar autorizado. Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel alterar a configuração sem estar autorizado.

16 Resumo O método de restrição via SWITCH/BRIDGE permite que você: O método de restrição via SWITCH/BRIDGE permite que você: Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador consiga se comunicar com outros exceto o servidor de internet. Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador consiga se comunicar com outros exceto o servidor de internet. Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a rede mais rápida. Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a rede mais rápida. Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes. Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes. Bloqueia totalmente a comunicação entre clientes. Bloqueia totalmente a comunicação entre clientes.

17 Mais informações: - Site da TMSoft Soluções. - Site da TMSoft Soluções. Livro REDE DE COMPUTADORES quinta edição. Livro REDE DE COMPUTADORES quinta edição. Obrigado pela atenção! Patrick Brandão


Carregar ppt "BLOQUEANDO comunicação entre clientes de uma rede local Por Patrick Brandão – TMSoft www.tmsoft.com.br."

Apresentações semelhantes


Anúncios Google