bloqueando comunicacao entre clientes

BLOQUEANDOBLOQUEANDOcomunicação comunicação entre clientesentre clientes

de uma rede localde uma rede localPor Patrick Brandão – TMSoftPor Patrick Brandão – TMSoft

www.tmsoft.com.br

Pré-requisitosPré-requisitos

►Conhecimento básico de Conhecimento básico de informáticainformática►Laboratório para práticaLaboratório para prática

Mikrotik RouterOSMikrotik RouterOSLinuxLinuxSwitchSwitchAccess PointAccess Point

Rede localRede local►Redes locais de computadoresRedes locais de computadores

São redes montadas de forma transparente, São redes montadas de forma transparente, onde não é necessário nenhuma configuração onde não é necessário nenhuma configuração para interconectar computadores fisicamente.para interconectar computadores fisicamente.

Secretaria 1Secretaria 2Switch

192.168.0.2192.168.0.3

192.168.0.4

Diretor

Switch

Crescimento plug-and-playCrescimento plug-and-play► Redes de camada 2 – Enlace - Switchs e bridges Redes de camada 2 – Enlace - Switchs e bridges

– crescem pela simples conexão física de cabos – crescem pela simples conexão física de cabos e associações em redes sem fio e associações em redes sem fio (APs/Repetidoras).(APs/Repetidoras).

Switch

Switch

Bridge Wireless

Bridge Wireless

SwitchSecretaria 1 Secretaria 1

Diretor

Analista Suporte

Cliente 1

Cliente 2

Rede compartilhadaRede compartilhada► Quando vários computadores estão em uma Quando vários computadores estão em uma

mesma rede local eles conseguem comunicação mesma rede local eles conseguem comunicação com todos os demais. Quadros (mac a mac) são com todos os demais. Quadros (mac a mac) são acessíveis para todos os computadores.acessíveis para todos os computadores.

Switch Bridge Wireless

SwitchSecretaria 1 Secretaria 1

Diretor

Cliente 1

Broadcast - ENVIOBroadcast - ENVIO► BROADCAST é um tipo de quadro enviado por um BROADCAST é um tipo de quadro enviado por um

computador e replicado pelos switchs e bridges em computador e replicado pelos switchs e bridges em todas as demais portas da rede local e é recebida por todas as demais portas da rede local e é recebida por todos os computadores ligados fisicamente a rede.todos os computadores ligados fisicamente a rede.

Bridge

Switch

Bridge Wireless

Bridge Wireless

Broadcast enviadoBroadcast Replicado Broadcast Replicado

Broadcast ReplicadoBroadcast Replicado

Broadcast Replicado

BroadcastReplicado

Broadcast - ExemploBroadcast - Exemplo► Suponha que há 4 computadores em rede pelo mesmo SWITCHSuponha que há 4 computadores em rede pelo mesmo SWITCH

Windows A – 192.168.0.2 mascara 255.255.255.0Windows A – 192.168.0.2 mascara 255.255.255.0 Windows B – 192.168.0.4 mascara 255.255.255.0Windows B – 192.168.0.4 mascara 255.255.255.0 Windows C – 172.16.0.2 mascara 255.255.255.0Windows C – 172.16.0.2 mascara 255.255.255.0 Windows D – 172.16.0.4 mascara 255.255.255.0Windows D – 172.16.0.4 mascara 255.255.255.0

► Broacast IP calculados automaticamente pelo S.O.:Broacast IP calculados automaticamente pelo S.O.: Windows A – 192.168.0.255Windows A – 192.168.0.255 Windows B – 192.168.0.255Windows B – 192.168.0.255 Windows C – 172.16.0.255Windows C – 172.16.0.255 Windows D – 172.16.0.255Windows D – 172.16.0.255

► Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma rede LÓGICA (mesmo endereço de broadcast IP) de A.rede LÓGICA (mesmo endereço de broadcast IP) de A.

Broadcast - RESPOSTABroadcast - RESPOSTA► Embora o BROADCAST atinja todos os computadores Embora o BROADCAST atinja todos os computadores

ligados a rede, apenas os computadores configurados ligados a rede, apenas os computadores configurados na mesma lógica - rede IP (cujos endereços de na mesma lógica - rede IP (cujos endereços de broadcast IP sejam iguais) irão responder.broadcast IP sejam iguais) irão responder.

Bridge

Switch


BroadcastReplicado

Resposta

Windows A192.168.0.2

Windows C172.16.0.2

Windows B192.168.0.4

Windows D172.16.0.4

Broadcast ReplicadoBroadcast enviado

Broadcast - Broadcast - PROBLEMAPROBLEMA► Se o computador C mudar seu IP para a rede Se o computador C mudar seu IP para a rede

192.168.0.0/24 ele terá acesso a comunicação 192.168.0.0/24 ele terá acesso a comunicação da rede vizinha.da rede vizinha.

Bridge

Switch


BroadcastReplicado

Resposta

Windows A192.168.0.2

Windows C192.168.0.7

Windows B192.168.0.4

Windows D172.16.0.4

Broadcast ReplicadoBroadcast enviado

Resposta

Resumo do método de isolamento Resumo do método de isolamento IPIP

► Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de IP/Máscara pode evitar paliativamente que eles se comuniquem, mas:IP/Máscara pode evitar paliativamente que eles se comuniquem, mas: Não prove segurançaNão prove segurança Não impede que outros computadores capturem os dados.Não impede que outros computadores capturem os dados. Não impede que outros usuários usem a rede para outro fins particulares ilicitos como:Não impede que outros usuários usem a rede para outro fins particulares ilicitos como:

►Compartilhar DVDs, arquivosCompartilhar DVDs, arquivos►Jogar CounterStrike e outros jogos em rede.Jogar CounterStrike e outros jogos em rede.►Usar impressoras de outros usuáriosUsar impressoras de outros usuários►Copiar ou destruir arquivos de outros usuários.Copiar ou destruir arquivos de outros usuários.

Solução: isolamento transparenteSolução: isolamento transparente► Embora os computadores sejam responsáveis por Embora os computadores sejam responsáveis por

enviar e receber os broadcasts, os verdadeiros enviar e receber os broadcasts, os verdadeiros culpados por permitir isso são os switchs e bridges culpados por permitir isso são os switchs e bridges que repassam esses broadcasts por caminhos que repassam esses broadcasts por caminhos proibidos.proibidos.

Switch

Servidor Cliente 1

Cliente 2

Caminho permitido

Caminho permitido CaminhoPROIBIDO

Produtos para isolamento Produtos para isolamento transparentetransparente

►Mikrotik cMikrotik como SWITH - RB450*, RB750*, RB800, RB1.100/1.200omo SWITH - RB450*, RB750*, RB800, RB1.100/1.200 Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem:Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem:

1 – Crie um bridge envolvendo todas as portas1 – Crie um bridge envolvendo todas as portas

2 – Em BRIDGE -> FILTER:2 – Em BRIDGE -> FILTER:

Em “forward”, interface de entrada ether1 ACTION ACCEPTEm “forward”, interface de entrada ether1 ACTION ACCEPT

Em “forward”, interface de saida ether1 ACTION ACCEPTEm “forward”, interface de saida ether1 ACTION ACCEPT

em “forward”, ACTION DROPem “forward”, ACTION DROP

3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, 3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, bloqueando a comunicação entre as demais portas clientes.bloqueando a comunicação entre as demais portas clientes.


Servidor

Ether1

RouterBroad


►Mikrotik cMikrotik como Acess Pointomo Acess Point Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um

cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cartão.cartão.

Proibido B - Se o AP possuir 2 ou mais cartões em modo AP-Bridge, aplique as regras Proibido B - Se o AP possuir 2 ou mais cartões em modo AP-Bridge, aplique as regras em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com clientes do outro cartão.clientes do outro cartão.

AP-Bridge Wireless

Servidor

CaminhoProibido B

CaminhoProibido A


► Switch CompexSwitch Compex Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall.Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall. Produto barato, simples de configurar.Produto barato, simples de configurar. Desvantagens:Desvantagens:

►Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas.Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas.►Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel

alterar a configuração sem estar autorizado.alterar a configuração sem estar autorizado.

ResumoResumo►O método de restrição via SWITCH/BRIDGE permite que você:O método de restrição via SWITCH/BRIDGE permite que você:

Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador consiga se comunicar com outros exceto o servidor de internet.consiga se comunicar com outros exceto o servidor de internet.

Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a rede mais rápida.rede mais rápida.

Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes.Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes. Bloqueia totalmente a comunicação entre clientes.Bloqueia totalmente a comunicação entre clientes.

Mais informações:Mais informações:

►www.tmsoft.com.br - Site da TMSoft - Site da TMSoft Soluções.Soluções.

►Livro REDE DE COMPUTADORES quinta Livro REDE DE COMPUTADORES quinta edição.edição.

Obrigado pela atenção!Patrick Brandão

bloqueando comunicacao entre clientes

Business