Evitando comunicação entre clientes
Aureliano Martins Peixoto
Muitos provedores de internet wireless ou cabo não possuem um circuito dedicado para cada cliente e acabam conectando todos eles na mesma rede física. Isso permite que, configurando-se varias maquinas na mesma rede lógica (ip) elas possam se acessar, trocar informações e sofrer ataques.
A técnica mais comum é colocar os clientes em redes IP diferentes, adicionando vários IPs no servidor, por exemplo:
- IP do servidor: 192.168.0.1/30, IP do cliente: 192.168.0.2/30
- IP do
servidor 192.168.1.1/30, IP do cliente: 192.168.1.2/30
Dessa forma, como não estão na mesma rede IP, o broadcast enviado por um não será receptado pelo outro. Qualquer tentativa de comunicação passará pelo servidor que facilmente o bloqueará.
Essa técnica é paleativa, se dois clientes se configurarem na mesma rede IP
eles poderão usar sua infraestrutura para jogar em rede (Counter Strike, copiar
DVD, etc…).
As técnicas apresentadas neste tutorial são definitivas para
resolver o problema.
Considere nossa rede:
1 -Blqueando na rede wireless
Na rede acima, temos 2 segmentos wireless, os clientes de cada segmento podem se comunicar sem que o tráfego passe pelo servidor, assim o bloqueio via software no servidor não surte nenhum efeito.
Como cada quadro enviado por um cliente de um segmento wireless para outro cliente no mesmo segmento precisa ser replicado pelo Access Point, podemos configurá-lo para não fazer isso. Dessa forma, os clientes poderão se comunicar apenas com quem estiver no segmento após o AP (clientes wireless para rede cabeada ou backbone).
1.1 - Bloqueando acesso entre clientes no AP Mikrotik
Abra o terminal de configuração do Mikrotik com o winbox. No menu lateral esquerdo, clique em “Wireless“, localize sua placa de rede wireless e de um duplo clique sobre ela.
Na tela de configuração da interface wireless, localize a guia “Wireless“, desmarque a opção “Default forward” para impedir que os clientes no segmento wireless dessa interface comuniquem-se entre si.
1.2 - Bloqueando acesso entre clientes no AP 2000 e outros
Em outros Access Points, a opção de bloquear o tráfego entre clientes normalmente é exibido como opçao “Block relay“, “Intrabbs relay” ou “Intrabbs block“, modifique essa opção ou semelhante para que o bloqueio entre em ação. Consulte tambem o manual do Access Point ou fabricante do firmware para saber como fazer.
2 – Bloqueando na rede cabeada
Bloqueamos o acesso entre clientes no mesmo segmento wireless, mas temos ainda outro grande problema: a comunicação de clientes entre segmentos.
No exemplo acima, o AP não foi capaz de bloquear o acesso entre os dois segmentos porque ele não sabe a diferença entre o quadro ir para o servidor e ir para outra rede de clientes, criar bloqueios por MAC nos AP’s para esse tipo de caso não é uma solução prática nem eficaz.
Temos entre os AP’s o Switch dedicado a concentração de AP’s, é nele que vamos implementar nossa técnica de bloqueio com VLAN’s.
Conceito de VLAN Vlan é uma tecnologia que permitir virtualizar a camada 2 (ethernet). Imagine que você tem um switch de 16 portas formando uma única rede local e deseja formar outra rede local para 6 computadores dessa rede. Normalmente você colocaria outro switch, mas com VLAN você pode configurar seu switch da seguinte forma: A - portas de 01 a 06 - VLAN id #1 B - portas de 07 a 15 - VLAN id #2 C - porta 16 - TRUNK O id da VLAN é o número usado para marcar o quadro na camada 2. Switchs VLAN fazem verificações nessa marcação para isolar as redes de um mesmo id, ou seja, os computadores da VLAN #1 não se comunicarão com os computadores da VLAN #2 pois pertencem a Switchs Virtuais diferentes. A porta TRUNK desempenha uma função especial: ela permite uplink entre várias VLAN's a um outro Switch VLAN ou ao SERVIDOR. Dessa forma, os computadores da VLAN #1 se comunicam com quem está na sua própria VLAN e com os computadores que estão na porta TRUNK. Não é necessário configurar nada nos computadores da rede para fazê-los participar de uma VLAN, o switch fará a marcação dos quadros quando esses passarem por ela.
Switchs VLAN do mercado:
Switch
16 portas PS2216 –
http://www.turbolink.com.br/produto.php?prod=rcab&cat=switch&id=82
Cisco Catalyst –
http://www.cisco.com/en/US/products/hw/switches/
Configuraremos o Switch do nosso exemplo da seguinte maneira:
Porta 1 – VLAN #1 ligada a
AP 1 – Mikrotik
Porta 2 – VLAN #2
ligada a AP 2 – AP2000
Porta 3 – VLAN
#3 ligada a Cliente Cabo
Porta 16 – TRUNK ligada ao
Servidor
Dessa forma, o Switch não permitirá troca de informações entre as portas 1, 2 e 3 mas permitirá que elas enviem e recebam informações da porta TRUNK onde se encontra o Servidor de acesso a internet.
Se sua rede for toda cabeada, você poderá cascatear os switchs VLAN para criar uma rede totalmente segura e isolando os clientes entre si sem espaço para falhas.
O exemplo acima demonstra como uma rede cabeada pode ser compartilhada de forma que cada cliente tenha um “circuito” privado até o servidor.
3 - Conclusão
Se você aplicar as duas técnicas na sua rede, com certeza evitará que os clientes se comuniquem e irá sentir um ganho significativo na sua rede. A economia de tráfego com broadcast e a redução do impacto de ataques internos (spyware, virus, etc…) aumentará a qualidade de serviço de sua rede.
Autor: Patrick Brandão
E-mail: con...@myauth.com.br
Fonte: http://www.myauth.com.br/?console=tutor&tutor=blockrelay
Aureliano Martins Peixoto
(62)8427-0497
Suporte Redes
Suporte Linux
Certificação Mikrotik - MTCNA 1012NA125
==============================