BLOQUEANDO  comunicação  entre clientesde uma rede localPor Patrick Brandão – TMSoft     www.tmsoft.com.br
Pré-requisitos►Conhecimento   básico de informática►Laboratório para prática  Mikrotik RouterOS  Linux  Switch  Access...
Rede local  ► Redes       locais de computadores       São redes montadas de forma transparente,        onde não é necess...
Crescimento plug-and-play   ►   Redes de camada 2 – Enlace - Switchs e bridges –       crescem pela simples conexão física...
Rede compartilhada   ►   Quando vários computadores estão em uma mesma       rede local eles conseguem comunicação com tod...
Broadcast - ENVIO►   BROADCAST é um tipo de quadro enviado por um    computador e replicado pelos switchs e bridges em    ...
Broadcast - Exemplo►   Suponha que há 4 computadores em rede pelo mesmo    SWITCH       Windows A – 192.168.0.2 mascara 2...
Broadcast - RESPOSTA►   Embora o BROADCAST atinja todos os computadores    ligados a rede, apenas os computadores configur...
Broadcast - PROBLEMA►   Se o computador C mudar seu IP para a rede    192.168.0.0/24 ele terá acesso a comunicação da rede...
Resumo do método de isolamento IP►   Colocar vários computadores em uma mesma rede    local diferenciados apenas pela conf...
Solução: isolamento transparente► Embora  os computadores sejam responsáveis por enviar e receber os broadcasts, os verdad...
Produtos para isolamento transparente► Mikrotik como SWITH - RB450*, RB750*, RB800,  RB1.100/1.200   Supondo que ETHER1 e...
Produtos para isolamento transparente  Servidor                      RouterBroad             Ether1
Produtos para isolamento transparente► Mikrotik como Acess Point   Proibido A - Desmarcar DEFAULT FORWARD no cartão wirel...
Produtos para isolamento transparente► Switch   Compex   Switch de 16 portas, da suporte a isolamento    entre portas por...
Resumo►O  método de restrição via SWITCH/BRIDGE permite que você:   Coloque os clientes na mesma rede IP e mesmo    assim...
Mais informações:► www.tmsoft.com.br   - Site da TMSoft  Soluções.► Livro REDE DE COMPUTADORES quinta  edição.            ...
Próximos SlideShares
Carregando em…5
×

Bloqueando comunicacao entre clientes

11.769 visualizações

Publicada em

Boa leitura

Publicada em: Negócios
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
11.769
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
148
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Bloqueando comunicacao entre clientes

  1. 1. BLOQUEANDO comunicação entre clientesde uma rede localPor Patrick Brandão – TMSoft www.tmsoft.com.br
  2. 2. Pré-requisitos►Conhecimento básico de informática►Laboratório para prática Mikrotik RouterOS Linux Switch Access Point
  3. 3. Rede local ► Redes locais de computadores  São redes montadas de forma transparente, onde não é necessário nenhuma configuração para interconectar computadores fisicamente. Switch Secretaria 2Secretaria 1 192.168.0.3 192.168.0.2 Diretor 192.168.0.4 Switch
  4. 4. Crescimento plug-and-play ► Redes de camada 2 – Enlace - Switchs e bridges – crescem pela simples conexão física de cabos e associações em redes sem fio (APs/Repetidoras). SwitchSecretaria 1 Secretaria 1 Cliente 1 Diretor Switch Bridge Wireless Cliente 2 Analista Suporte Switch Bridge Wireless
  5. 5. Rede compartilhada ► Quando vários computadores estão em uma mesma rede local eles conseguem comunicação com todos os demais. Quadros (mac a mac) são acessíveis para todos os computadores. SwitchSecretaria 1 Secretaria 1 Cliente 1 Diretor Switch Bridge Wireless
  6. 6. Broadcast - ENVIO► BROADCAST é um tipo de quadro enviado por um computador e replicado pelos switchs e bridges em todas as demais portas da rede local e é recebida por todos os computadores ligados fisicamente a rede. Broadcast enviado Broadcast Replicado Broadcast Replicado Broadcast Bridge Bridge Wireless Replicado Broadcast Replicado Broadcast Replicado Broadcast Replicado Switch Bridge Wireless
  7. 7. Broadcast - Exemplo► Suponha que há 4 computadores em rede pelo mesmo SWITCH  Windows A – 192.168.0.2 mascara 255.255.255.0  Windows B – 192.168.0.4 mascara 255.255.255.0  Windows C – 172.16.0.2 mascara 255.255.255.0  Windows D – 172.16.0.4 mascara 255.255.255.0► Broacast IP calculados automaticamente pelo S.O.:  Windows A – 192.168.0.255  Windows B – 192.168.0.255  Windows C – 172.16.0.255  Windows D – 172.16.0.255► Resultado: embora os broadcast de MAC enviados por A sejam processados por B, C e D, apenas B responderá, pois somente ele está na mesma rede LÓGICA (mesmo endereço de broadcast IP) de A.
  8. 8. Broadcast - RESPOSTA► Embora o BROADCAST atinja todos os computadores ligados a rede, apenas os computadores configurados na mesma lógica - rede IP (cujos endereços de broadcast IP sejam iguais) irão responder. Windows A Windows C 192.168.0.2 172.16.0.2 Broadcast enviado Broadcast Replicado Broadcast Bridge Replicado Windows B Windows D 192.168.0.4 172.16.0.4 Resposta Broadcast Replicado Broadcast Replicado Switch
  9. 9. Broadcast - PROBLEMA► Se o computador C mudar seu IP para a rede 192.168.0.0/24 ele terá acesso a comunicação da rede vizinha. Windows A Windows C 192.168.0.2 Resposta 192.168.0.7 Broadcast enviado Broadcast Replicado Broadcast Bridge Replicado Windows B Windows D 192.168.0.4 172.16.0.4 Resposta Broadcast Replicado Broadcast Replicado Switch
  10. 10. Resumo do método de isolamento IP► Colocar vários computadores em uma mesma rede local diferenciados apenas pela configuração lógica de IP/Máscara pode evitar paliativamente que eles se comuniquem, mas:  Não prove segurança  Não impede que outros computadores capturem os dados.  Não impede que outros usuários usem a rede para outro fins particulares ilicitos como: ►Compartilhar DVDs, arquivos ►Jogar CounterStrike e outros jogos em rede. ►Usar impressoras de outros usuários ►Copiar ou destruir arquivos de outros usuários.
  11. 11. Solução: isolamento transparente► Embora os computadores sejam responsáveis por enviar e receber os broadcasts, os verdadeiros culpados por permitir isso são os switchs e bridges que repassam esses broadcasts por caminhos proibidos. Servidor Cliente 1 Caminho permitido Caminho permitido Switch Caminho PROIBIDO Cliente 2
  12. 12. Produtos para isolamento transparente► Mikrotik como SWITH - RB450*, RB750*, RB800, RB1.100/1.200  Supondo que ETHER1 esteja ligada no servidor, para bloquear que as portas clientes se comuniquem: 1 – Crie um bridge envolvendo todas as portas 2 – Em BRIDGE -> FILTER: Em “forward”, interface de entrada ether1 ACTION ACCEPT Em “forward”, interface de saida ether1 ACTION ACCEPT em “forward”, ACTION DROP 3 – dessa forma a primeira e segunda regra permitirá comunicação entre as portas clientes e a porta do servidor, bloqueando a comunicação entre as demais portas clientes.
  13. 13. Produtos para isolamento transparente Servidor RouterBroad Ether1
  14. 14. Produtos para isolamento transparente► Mikrotik como Acess Point  Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless. Isso impede que um cliente conectado ao cartão se comunique com outro cliente conectado no mesmo cartão.  Proibido B - Se o AP possuir 2 ou mais cartões em modo AP- Bridge, aplique as regras em BRIDGE -> FILTER para impedir que clientes de um cartão se comuniquem com clientes do outro cartão. Caminho Proibido B Caminho Servidor Proibido A AP-Bridge Wireless
  15. 15. Produtos para isolamento transparente► Switch Compex  Switch de 16 portas, da suporte a isolamento entre portas por controle interno de firewall.  Produto barato, simples de configurar.  Desvantagens: ►Processador FRACO, apresenta perda de pacotes com tráfegos acima de 50 megas. ►Não possui controle de acesso por senha, com o uso do aplicativo do fabricante é possivel alterar a configuração sem estar autorizado.
  16. 16. Resumo►O método de restrição via SWITCH/BRIDGE permite que você:  Coloque os clientes na mesma rede IP e mesmo assim será impossível que um computador consiga se comunicar com outros exceto o servidor de internet.  Reduz drasticamente e de forma efetiva o consumo da rede com broadcasts deixando a rede mais rápida.  Impede que usuários façam SCAN da rede para descobrir os IPs e MACs dos demais clientes.  Bloqueia totalmente a comunicação entre clientes.
  17. 17. Mais informações:► www.tmsoft.com.br - Site da TMSoft Soluções.► Livro REDE DE COMPUTADORES quinta edição. Obrigado pela atenção! Patrick Brandão

×