Your SlideShare is downloading. ×
Bloqueando comunicacao entre clientes
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Bloqueando comunicacao entre clientes

8,424
views

Published on

Boa leitura

Boa leitura

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
8,424
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
106
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. BLOQUEANDO comunicação entre clientesde uma rede localPor Patrick Brandão – TMSoft www.tmsoft.com.br
  • 2. Pré-requisitos►Conhecimento básico de informática►Laboratório para prática Mikrotik RouterOS Linux Switch Access Point
  • 3. Rede local ► Redes locais de computadores  São redes montadas de forma transparente, onde não é necessário nenhuma configuração para interconectar computadores fisicamente. Switch Secretaria 2Secretaria 1 192.168.0.3 192.168.0.2 Diretor 192.168.0.4 Switch
  • 4. Crescimento plug-and-play ► Redes de camada 2 – Enlace - Switchs e bridges – crescem pela simples conexão física de cabos e associações em redes sem fio (APs/Repetidoras). SwitchSecretaria 1 Secretaria 1 Cliente 1 Diretor Switch Bridge Wireless Cliente 2 Analista Suporte Switch Bridge Wireless
  • 5. Rede compartilhada ► Quando vários computadores estão em uma mesma rede local eles conseguem comunicação com todos os demais. Quadros (mac a mac) são acessíveis para todos os computadores. SwitchSecretaria 1 Secretaria 1 Cliente 1 Diretor Switch Bridge Wireless
  • 6. Broadcast - ENVIO► BROADCAST é um tipo de quadro enviado por um computador e replicado pelos switchs e bridges em todas as demais portas da rede local e é recebida por todos os computadores ligados fisicamente a rede. Broadcast enviado Broadcast Replicado Broadcast Replicado Broadcast Bridge Bridge Wireless Replicado Broadcast Replicado Broadcast Replicado Broadcast Replicado Switch Bridge Wireless
  • 7. Broadcast - Exemplo► Suponha que há 4 computadores em rede pelo mesmo SWITCH  Windows A – 192.168.0.2 mascara 255.255.255.0  Windows B – 192.168.0.4 mascara 255.255.255.0  Windows C – 172.16.0.2 mascara 255.255.255.0  Windows D – 172.16.0.4 mascara 255.255.255.0► Broacast IP calculados automaticamente pelo S.O.:  Windows A – 192.168.0.255  Windows B – 192.168.0.255  Windows C – 172.16.0.255  Windows D – 172.16.0.255► Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma rede LÓGICA (mesmo endereço de broadcast IP) de A.
  • 8. Broadcast - RESPOSTA► Embora o BROADCAST atinja todos os computadores ligados a rede, apenas os computadores configurados na mesma lógica - rede IP (cujos endereços de broadcast IP sejam iguais) irão responder. Windows A Windows C 192.168.0.2 172.16.0.2 Broadcast enviado Broadcast Replicado Broadcast Bridge Replicado Windows B Windows D 192.168.0.4 172.16.0.4 Resposta Broadcast Replicado Broadcast Replicado Switch
  • 9. Broadcast - PROBLEMA► Se o computador C mudar seu IP para a rede 192.168.0.0/24 ele terá acesso a comunicação da rede vizinha. Windows A Windows C 192.168.0.2 Resposta 192.168.0.7 Broadcast enviado Broadcast Replicado Broadcast Bridge Replicado Windows B Windows D 192.168.0.4 172.16.0.4 Resposta Broadcast Replicado Broadcast Replicado Switch
  • 10. Resumo do método de isolamento IP► Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de IP/Máscara pode evitar paliativamente que eles se comuniquem, mas:  Não prove segurança  Não impede que outros computadores capturem os dados.  Não impede que outros usuários usem a rede para outro fins particulares ilicitos como: ►Compartilhar DVDs, arquivos ►Jogar CounterStrike e outros jogos em rede. ►Usar impressoras de outros usuários ►Copiar ou destruir arquivos de outros usuários.
  • 11. Solução: isolamento transparente► Embora os computadores sejam responsáveis por enviar e receber os broadcasts, os verdadeiros culpados por permitir isso são os switchs e bridges que repassam esses broadcasts por caminhos proibidos. Servidor Cliente 1 Caminho permitido Caminho permitido Switch Caminho PROIBIDO Cliente 2
  • 12. Produtos para isolamento transparente► Mikrotik como SWITH - RB450*, RB750*, RB800, RB1.100/1.200  Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem: 1 – Crie um bridge envolvendo todas as portas 2 – Em BRIDGE -> FILTER: Em “forward”, interface de entrada ether1 ACTION ACCEPT Em “forward”, interface de saida ether1 ACTION ACCEPT em “forward”, ACTION DROP 3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, bloqueando a comunicação entre as demais portas clientes.
  • 13. Produtos para isolamento transparente Servidor RouterBroad Ether1
  • 14. Produtos para isolamento transparente► Mikrotik como Acess Point  Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cartão.  Proibido B - Se o AP possuir 2 ou mais cartões em modo AP- Bridge, aplique as regras em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com clientes do outro cartão. Caminho Proibido B Caminho Servidor Proibido A AP-Bridge Wireless
  • 15. Produtos para isolamento transparente► Switch Compex  Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall.  Produto barato, simples de configurar.  Desvantagens: ►Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas. ►Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel alterar a configuração sem estar autorizado.
  • 16. Resumo►O método de restrição via SWITCH/BRIDGE permite que você:  Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador consiga se comunicar com outros exceto o servidor de internet.  Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a rede mais rápida.  Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes.  Bloqueia totalmente a comunicação entre clientes.
  • 17. Mais informações:► www.tmsoft.com.br - Site da TMSoft Soluções.► Livro REDE DE COMPUTADORES quinta edição. Obrigado pela atenção! Patrick Brandão

×