1. BLOQUEANDO
comunicação
entre clientes
de uma rede local
Por Patrick Brandão – TMSoft
www.tmsoft.com.br
2. Pré-requisitos
►Conhecimento básico de informática
►Laboratório para prática
Mikrotik RouterOS
Linux
Switch
Access Point
3. Rede local
► Redes locais de computadores
São redes montadas de forma transparente,
onde não é necessário nenhuma configuração
para interconectar computadores fisicamente.
Switch Secretaria 2
Secretaria 1
192.168.0.3
192.168.0.2
Diretor
192.168.0.4 Switch
4. Crescimento plug-and-play
► Redes de camada 2 – Enlace - Switchs e bridges –
crescem pela simples conexão física de cabos e
associações em redes sem fio (APs/Repetidoras).
Switch
Secretaria 1 Secretaria 1
Cliente 1
Diretor
Switch Bridge Wireless
Cliente 2
Analista Suporte
Switch
Bridge Wireless
5. Rede compartilhada
► Quando vários computadores estão em uma mesma
rede local eles conseguem comunicação com todos os
demais. Quadros (mac a mac) são acessíveis para
todos os computadores.
Switch
Secretaria 1 Secretaria 1
Cliente 1
Diretor
Switch Bridge Wireless
6. Broadcast - ENVIO
► BROADCAST é um tipo de quadro enviado por um
computador e replicado pelos switchs e bridges em
todas as demais portas da rede local e é recebida por
todos os computadores ligados fisicamente a rede.
Broadcast enviado Broadcast Replicado Broadcast Replicado
Broadcast Bridge Bridge Wireless
Replicado
Broadcast Replicado
Broadcast Replicado
Broadcast Replicado
Switch
Bridge Wireless
7. Broadcast - Exemplo
► Suponha que há 4 computadores em rede pelo mesmo
SWITCH
Windows A – 192.168.0.2 mascara 255.255.255.0
Windows B – 192.168.0.4 mascara 255.255.255.0
Windows C – 172.16.0.2 mascara 255.255.255.0
Windows D – 172.16.0.4 mascara 255.255.255.0
► Broacast IP calculados automaticamente pelo S.O.:
Windows A – 192.168.0.255
Windows B – 192.168.0.255
Windows C – 172.16.0.255
Windows D – 172.16.0.255
► Resultado: embora os broadcast de MAC enviados por A
sejam processados por B, C e D, apenas B responderá,
pois somente ele está na mesma rede LÓGICA (mesmo
endereço de broadcast IP) de A.
8. Broadcast - RESPOSTA
► Embora o BROADCAST atinja todos os computadores
ligados a rede, apenas os computadores configurados
na mesma lógica - rede IP (cujos endereços de
broadcast IP sejam iguais) irão responder.
Windows A Windows C
192.168.0.2 172.16.0.2
Broadcast enviado
Broadcast Replicado
Broadcast Bridge
Replicado
Windows B Windows D
192.168.0.4 172.16.0.4
Resposta
Broadcast Replicado Broadcast Replicado
Switch
9. Broadcast - PROBLEMA
► Se o computador C mudar seu IP para a rede
192.168.0.0/24 ele terá acesso a comunicação da rede
vizinha.
Windows A Windows C
192.168.0.2
Resposta 192.168.0.7
Broadcast enviado
Broadcast Replicado
Broadcast Bridge
Replicado
Windows B Windows D
192.168.0.4 172.16.0.4
Resposta
Broadcast Replicado Broadcast Replicado
Switch
10. Resumo do método de isolamento IP
► Colocar vários computadores em uma mesma rede
local diferenciados apenas pela configuração lógica de
IP/Máscara pode evitar paliativamente que eles se
comuniquem, mas:
Não prove segurança
Não impede que outros computadores capturem os
dados.
Não impede que outros usuários usem a rede para
outro fins particulares ilicitos como:
►Compartilhar DVDs, arquivos
►Jogar CounterStrike e outros jogos em rede.
►Usar impressoras de outros usuários
►Copiar ou destruir arquivos de outros usuários.
11. Solução: isolamento transparente
► Embora os computadores sejam responsáveis por
enviar e receber os broadcasts, os verdadeiros
culpados por permitir isso são os switchs e bridges
que repassam esses broadcasts por caminhos
proibidos.
Servidor Cliente 1
Caminho permitido
Caminho permitido Switch Caminho
PROIBIDO
Cliente 2
12. Produtos para isolamento transparente
► Mikrotik como SWITH - RB450*, RB750*, RB800,
RB1.100/1.200
Supondo que ETHER1 esteja ligada no servidor, para bloquear
que as portas clientes se comuniquem:
1 – Crie um bridge envolvendo todas as portas
2 – Em BRIDGE -> FILTER:
Em “forward”, interface de entrada ether1 ACTION ACCEPT
Em “forward”, interface de saida ether1 ACTION ACCEPT
em “forward”, ACTION DROP
3 – dessa forma a primeira e segunda regra permitirá
comunicação entre as portas clientes e a porta do servidor,
bloqueando a comunicação entre as demais portas clientes.
14. Produtos para isolamento transparente
► Mikrotik como Acess Point
Proibido A - Desmarcar DEFAULT FORWARD no cartão wireless.
Isso impede que um cliente conectado ao cartão se comunique
com outro cliente conectado no mesmo cartão.
Proibido B - Se o AP possuir 2 ou mais cartões em modo AP-
Bridge, aplique as regras em BRIDGE -> FILTER para impedir
que clientes de um cartão se comuniquem com clientes do
outro cartão.
Caminho
Proibido B
Caminho
Servidor Proibido A
AP-Bridge Wireless
15. Produtos para isolamento transparente
► Switch Compex
Switch de 16 portas, da suporte a isolamento
entre portas por controle interno de firewall.
Produto barato, simples de configurar.
Desvantagens:
►Processador FRACO, apresenta perda de
pacotes com tráfegos acima de 50 megas.
►Não possui controle de acesso por senha, com
o uso do aplicativo do fabricante é possivel
alterar a configuração sem estar autorizado.
16. Resumo
►O método de restrição via SWITCH/BRIDGE permite
que você:
Coloque os clientes na mesma rede IP e mesmo
assim será impossível que um computador consiga
se comunicar com outros exceto o servidor de
internet.
Reduz drasticamente e de forma efetiva o consumo
da rede com broadcasts deixando a rede mais
rápida.
Impede que usuários façam SCAN da rede para
descobrir os IPs e MACs dos demais clientes.
Bloqueia totalmente a comunicação entre
clientes.