• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Bloqueando comunicacao entre clientes
 

Bloqueando comunicacao entre clientes

on

  • 6,939 views

Boa leitura

Boa leitura

Statistics

Views

Total Views
6,939
Views on SlideShare
6,939
Embed Views
0

Actions

Likes
0
Downloads
53
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Bloqueando comunicacao entre clientes Bloqueando comunicacao entre clientes Presentation Transcript

    • BLOQUEANDO comunicação entre clientesde uma rede localPor Patrick Brandão – TMSoft www.tmsoft.com.br
    • Pré-requisitos►Conhecimento básico de informática►Laboratório para prática Mikrotik RouterOS Linux Switch Access Point
    • Rede local ► Redes locais de computadores  São redes montadas de forma transparente, onde não é necessário nenhuma configuração para interconectar computadores fisicamente. Switch Secretaria 2Secretaria 1 192.168.0.3 192.168.0.2 Diretor 192.168.0.4 Switch
    • Crescimento plug-and-play ► Redes de camada 2 – Enlace - Switchs e bridges – crescem pela simples conexão física de cabos e associações em redes sem fio (APs/Repetidoras). SwitchSecretaria 1 Secretaria 1 Cliente 1 Diretor Switch Bridge Wireless Cliente 2 Analista Suporte Switch Bridge Wireless
    • Rede compartilhada ► Quando vários computadores estão em uma mesma rede local eles conseguem comunicação com todos os demais. Quadros (mac a mac) são acessíveis para todos os computadores. SwitchSecretaria 1 Secretaria 1 Cliente 1 Diretor Switch Bridge Wireless
    • Broadcast - ENVIO► BROADCAST é um tipo de quadro enviado por um computador e replicado pelos switchs e bridges em todas as demais portas da rede local e é recebida por todos os computadores ligados fisicamente a rede. Broadcast enviado Broadcast Replicado Broadcast Replicado Broadcast Bridge Bridge Wireless Replicado Broadcast Replicado Broadcast Replicado Broadcast Replicado Switch Bridge Wireless
    • Broadcast - Exemplo► Suponha que há 4 computadores em rede pelo mesmo SWITCH  Windows A – 192.168.0.2 mascara 255.255.255.0  Windows B – 192.168.0.4 mascara 255.255.255.0  Windows C – 172.16.0.2 mascara 255.255.255.0  Windows D – 172.16.0.4 mascara 255.255.255.0► Broacast IP calculados automaticamente pelo S.O.:  Windows A – 192.168.0.255  Windows B – 192.168.0.255  Windows C – 172.16.0.255  Windows D – 172.16.0.255► Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma rede LÓGICA (mesmo endereço de broadcast IP) de A.
    • Broadcast - RESPOSTA► Embora o BROADCAST atinja todos os computadores ligados a rede, apenas os computadores configurados na mesma lógica - rede IP (cujos endereços de broadcast IP sejam iguais) irão responder. Windows A Windows C 192.168.0.2 172.16.0.2 Broadcast enviado Broadcast Replicado Broadcast Bridge Replicado Windows B Windows D 192.168.0.4 172.16.0.4 Resposta Broadcast Replicado Broadcast Replicado Switch
    • Broadcast - PROBLEMA► Se o computador C mudar seu IP para a rede 192.168.0.0/24 ele terá acesso a comunicação da rede vizinha. Windows A Windows C 192.168.0.2 Resposta 192.168.0.7 Broadcast enviado Broadcast Replicado Broadcast Bridge Replicado Windows B Windows D 192.168.0.4 172.16.0.4 Resposta Broadcast Replicado Broadcast Replicado Switch
    • Resumo do método de isolamento IP► Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de IP/Máscara pode evitar paliativamente que eles se comuniquem, mas:  Não prove segurança  Não impede que outros computadores capturem os dados.  Não impede que outros usuários usem a rede para outro fins particulares ilicitos como: ►Compartilhar DVDs, arquivos ►Jogar CounterStrike e outros jogos em rede. ►Usar impressoras de outros usuários ►Copiar ou destruir arquivos de outros usuários.
    • Solução: isolamento transparente► Embora os computadores sejam responsáveis por enviar e receber os broadcasts, os verdadeiros culpados por permitir isso são os switchs e bridges que repassam esses broadcasts por caminhos proibidos. Servidor Cliente 1 Caminho permitido Caminho permitido Switch Caminho PROIBIDO Cliente 2
    • Produtos para isolamento transparente► Mikrotik como SWITH - RB450*, RB750*, RB800, RB1.100/1.200  Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem: 1 – Crie um bridge envolvendo todas as portas 2 – Em BRIDGE -> FILTER: Em “forward”, interface de entrada ether1 ACTION ACCEPT Em “forward”, interface de saida ether1 ACTION ACCEPT em “forward”, ACTION DROP 3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, bloqueando a comunicação entre as demais portas clientes.
    • Produtos para isolamento transparente Servidor RouterBroad Ether1
    • Produtos para isolamento transparente► Mikrotik como Acess Point  Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cartão.  Proibido B - Se o AP possuir 2 ou mais cartões em modo AP- Bridge, aplique as regras em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com clientes do outro cartão. Caminho Proibido B Caminho Servidor Proibido A AP-Bridge Wireless
    • Produtos para isolamento transparente► Switch Compex  Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall.  Produto barato, simples de configurar.  Desvantagens: ►Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas. ►Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel alterar a configuração sem estar autorizado.
    • Resumo►O método de restrição via SWITCH/BRIDGE permite que você:  Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador consiga se comunicar com outros exceto o servidor de internet.  Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a rede mais rápida.  Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes.  Bloqueia totalmente a comunicação entre clientes.
    • Mais informações:► www.tmsoft.com.br - Site da TMSoft Soluções.► Livro REDE DE COMPUTADORES quinta edição. Obrigado pela atenção! Patrick Brandão