A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

BLOQUEANDO comunicação entre clientes de uma rede local

Apresentações semelhantes


Apresentação em tema: "BLOQUEANDO comunicação entre clientes de uma rede local"— Transcrição da apresentação:

1 BLOQUEANDO comunicação entre clientes de uma rede local
Por Patrick Brandão – TMSoft

2 Pré-requisitos Conhecimento básico de informática
Laboratório para prática Mikrotik RouterOS Linux Switch Access Point

3 Rede local Redes locais de computadores
São redes montadas de forma transparente, onde não é necessário nenhuma configuração para interconectar computadores fisicamente. Switch Secretaria 2 Secretaria 1 Diretor Switch

4 Crescimento plug-and-play
Redes de camada 2 – Enlace - Switchs e bridges – crescem pela simples conexão física de cabos e associações em redes sem fio (APs/Repetidoras). Switch Secretaria 1 Secretaria 1 Cliente 1 Diretor Switch Bridge Wireless Cliente 2 Analista Suporte Switch Bridge Wireless

5 Rede compartilhada Quando vários computadores estão em uma mesma rede local eles conseguem comunicação com todos os demais. Quadros (mac a mac) são acessíveis para todos os computadores. Switch Secretaria 1 Secretaria 1 Cliente 1 Diretor Switch Bridge Wireless

6 Broadcast - ENVIO BROADCAST é um tipo de quadro enviado por um computador e replicado pelos switchs e bridges em todas as demais portas da rede local e é recebida por todos os computadores ligados fisicamente a rede. Broadcast enviado Broadcast Replicado Broadcast Replicado Broadcast Replicado Bridge Bridge Wireless Broadcast Replicado Broadcast Replicado Broadcast Replicado Switch Bridge Wireless

7 Broadcast - Exemplo Suponha que há 4 computadores em rede pelo mesmo SWITCH Windows A – mascara Windows B – mascara Windows C – mascara Windows D – mascara Broacast IP calculados automaticamente pelo S.O.: Windows A – Windows B – Windows C – Windows D – Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma rede LÓGICA (mesmo endereço de broadcast IP) de A.

8 Broadcast - RESPOSTA Embora o BROADCAST atinja todos os computadores ligados a rede, apenas os computadores configurados na mesma lógica - rede IP (cujos endereços de broadcast IP sejam iguais) irão responder. Windows A Windows C Broadcast enviado Broadcast Replicado Broadcast Replicado Bridge Windows B Windows D Resposta Broadcast Replicado Broadcast Replicado Switch

9 Broadcast - PROBLEMA Se o computador C mudar seu IP para a rede /24 ele terá acesso a comunicação da rede vizinha. Windows A Windows C Resposta Broadcast enviado Broadcast Replicado Broadcast Replicado Bridge Windows B Windows D Resposta Broadcast Replicado Broadcast Replicado Switch

10 Resumo do método de isolamento IP
Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de IP/Máscara pode evitar paliativamente que eles se comuniquem, mas: Não prove segurança Não impede que outros computadores capturem os dados. Não impede que outros usuários usem a rede para outro fins particulares ilicitos como: Compartilhar DVDs, arquivos Jogar CounterStrike e outros jogos em rede. Usar impressoras de outros usuários Copiar ou destruir arquivos de outros usuários.

11 Solução: isolamento transparente
Embora os computadores sejam responsáveis por enviar e receber os broadcasts, os verdadeiros culpados por permitir isso são os switchs e bridges que repassam esses broadcasts por caminhos proibidos. Switch Servidor Cliente 1 Cliente 2 Caminho permitido Caminho permitido Caminho PROIBIDO INTERNET

12 Produtos para isolamento transparente
Mikrotik como SWITH - RB450*, RB750*, RB800, RB1.100/1.200 Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem: 1 – Crie um bridge envolvendo todas as portas 2 – Em BRIDGE -> FILTER: Em “forward”, interface de entrada ether1 ACTION ACCEPT Em “forward”, interface de saida ether1 ACTION ACCEPT em “forward”, ACTION DROP 3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, bloqueando a comunicação entre as demais portas clientes.

13 Produtos para isolamento transparente
Servidor RouterBroad Ether1 INTERNET

14 Produtos para isolamento transparente
Mikrotik como Acess Point Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cartão. Proibido B - Se o AP possuir 2 ou mais cartões em modo AP-Bridge, aplique as regras em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com clientes do outro cartão. Caminho Proibido B Caminho Proibido A Servidor AP-Bridge Wireless

15 Produtos para isolamento transparente
Switch Compex Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall. Produto barato, simples de configurar. Desvantagens: Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas. Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel alterar a configuração sem estar autorizado.

16 Resumo O método de restrição via SWITCH/BRIDGE permite que você:
Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador consiga se comunicar com outros exceto o servidor de internet. Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a rede mais rápida. Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes. Bloqueia totalmente a comunicação entre clientes.

17 Mais informações: www.tmsoft.com.br - Site da TMSoft Soluções.
Livro REDE DE COMPUTADORES quinta edição. Obrigado pela atenção! Patrick Brandão


Carregar ppt "BLOQUEANDO comunicação entre clientes de uma rede local"

Apresentações semelhantes


Anúncios Google