Versão Imprimível
Sub-redes é a melhor maneira de seguimentar as redes....mais ela tem segurança apenas quando se cria os filtros corretos para uma rede não chegar em outra.
Usar o /30 no MK que tem uma placa de rede para alimentar todos os clientes não tera segurança.
pois o mesmo conhece a rota para todas as redes.
No entanto parabens pelos posts anteriores.
mas como eu fiz no de sub-redes os clientes não se enxergam de nenhuma forma, não tem como pingar de um cliente para o outro, os pcs não aparecem na rede, somente o servidor pode ser pingado, e do servidor para o cliente, não há acesso de um cliente para o outro nem especificando ip...
agora quanto a sua solução se for mais seguro e for algo que va forçar menos o servidor do que a minha solução então sera lógico refazer todo servidor e configurar da sua maneira desde que isto vise o desempenho do servidor e cliente...
aqui eu estou usando da forma que postei e não tive problema nenhum com clientes, e ainda não preciso de ir na casa do cliente para resolver configurações, afinal o dhcp server te toda a facilidade d econfigurar cada pc da rede tendo somente o pc ligado e conectado na rede...
para os mais experientes que conhecem a solução correta e definitiva então seria valido como resposta até mesmo para pesquisa de outros se a resposta fosse baseada como um manual de configuração assim como eu fiz, com fotos e explicações, assim para quem não souber o que fazer não tera duvida do procedimento e não ficará repetindo a mesma duvida em outros posts...
se puder postar como vc fez toda sua configuração para os clientes será muito bem vindo e ficamos nós os varios usuarios de mk agradecidos!
=) boa tarde a todos e tenham uma boa semana =)
o problema não é este de alguem invadir, pois só se invade o que esta protegido, do contrario não é invasão...
o problema é o seguinte: um cliente da rede compartilha uma pasta para transferir para outro pc com um cabo cross e esquece a pasta importante compartilhada... (olha o problema)
um cliente esta acessando o windows explorer e esta la um monte de nome de pc de clientes da sua rede (olha outro problema, principalmente a curiosidade)
um cliente poe o computador para desligar e aparece aquela mensagem adoravel: alguem esta utilizando seu computador neste momento, tem certeza que deseja desligar seu computador?
o bendito do cliente não entende o que se passa e chega até a você e diz: _estou saindo da sua internet porque alguem estava entrando no meu computador e mexendo nas minhas coisas...
pois é isto é tenso para quem precisa deste cliente que paga todo mes certinho...
então repido, se alguem tiver uma forma correta de se proteger destes problemas, estamos aqui ao aguardo =D
eu acredito que voce entende a situação, vejamos, se o cliente diz que não compartilhou nada, o que vc faz?
o cliente muitas vezes não faz ideia de como compartilhar, mas se aparecer uma mensagem de que existe outro usuario conectado ao pc dele, o cliente ira desconfiar, ira reclamar (mesmo que não haja nada), ira sair da sua rede, e o pior vai dizer que na sua rede todos entram no pc dos clientes...
o problema é evitar este tipo de situação, sem contar que fica mais bonitinho né =D
parecendo mais profissional...
então o lance não é que seja responsabilidade minha ou do cliente, o lance é fazer paracer o mais profissional possivel...para manter o cliente sempre na nossa rede...
se ele compartilha beleza, a culpa é dele, mas imagina só um que não compartilhou nada, e eu da minha casa dou um ping no pc dele, e no mesmo exato momento ele poe o pc para desligar, qual mensgem vai aparecer no pc dele?
é isto que queremos evitar quando dizemos que temos que trocar o netmask, ou mudar algo que seja, para manter a segurança do usuario, porque mesmo que ele compartilhe a segurança cabe ao servidor... pelo menos este tipo de segurança sim, esta é minha opinião!
sim mas quanto aos invasores sabemos que não tem geito, não uma solução fixa, mas o que queremos é evitar a reclamação de um cliente que não entende o que se passa, ja será um problema a menos correto?
então se um cara invadir, aí sim ja é diferente, não foi culpa nossa, mas se a pasta ta la aparecendo, vai dar a curiosidade a qualquer que a veja, então ja se sabe o final...
apesar de nós entender-mos sobre os pcs aparecendo na rede o cliente não quer saber, ele não quer la o nome do pc dele e receber a mensagem de que alguem esta no pc dele remotamente...
é com esta finalidade que iniciaram este post...
agora vamos novamente ao assunto: postei o que eu uso aqui, e se alguem tiver uma solução correta e eficaz, estamos a disposição!
Pessoal aos que usam criptografia, e aos que usam sub-redes, existem de diversas formas, métodos de segurança que podem ser implantados no MK.
Filtros de bridge, e de interfaces são feitos para que o que vem de um para outro seja dropado de tal forma.
Mais a segurança também depende dos equipamentos que existem na rede, pois as vezes a disposição de regras para estes filtros dependem de modelos e até compatibilidades dos fabricantes.
Bom, também não sou nenhum expert no assunto, mas com o tempo vamos adquirindo alguma experiência.
Fiz algumas regras em bridge, simples mas funcional. Cliente não pingam entre si, não se enchergam via NetBios, não disparam dhcp na rede. Em todos os meus testes os resultados foram positivos. Mas creio que possa haver falhas que gostariam que analisassem e discutissem se isso realmente funciona.
Segue em as regras para mikrotik. Versão 3.30 ou superior. Essas regras funcionam para mikrotik em bridge. E deve se criar o drop e a marcação de pacotes para cada interface na bridge onde os clientes se conectam.
Citação:
/interface bridge filter
######Aceita conexões para winbox,winbox discovery####################
add action=accept chain=input comment="ACEITA WINBOX POR IP" disabled=no dst-port=8291 ip-protocol=tcp mac-protocol=ip
add action=accept chain=input comment="ACEITA WINBOX POR MAC" disabled=no dst-port=20561 ip-protocol=udp mac-protocol=ip
add action=accept chain=input comment="ACEITA WINBOX DISCOVERY" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
########Marcando pacotes que não tenham como destino o gateway #########################################
add action=mark-packet chain=input comment="MARCA PACOTES QUE NAO TENHAM COMO DESTINO O GATEWAY" disabled=no dst-address=\
!IP DO GATEWAY/32 in-interface=INTERFACE mac-protocol=ip new-packet-mark=INTERFACE_mp
add action=log chain=input comment=LOG disabled=yes log-prefix=DROP packet-mark=INTERFACE_mp
add action=drop chain=input comment="DROPA PACOTES MARCADOS QUE NAO TEM COMO DESTINO O GATEWAY" disabled=no packet-mark=\
INTERFACE_mp
add action=drop chain=input comment="DROPA TODOS PROTOCOLOS DE MAC QUE NAO SEJAM IP" disabled=no in-interface=INTERFACE \
mac-protocol=!ip
add action=drop chain=forward comment="PREVENTIVO NETBIOS" disabled=no dst-port=137-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=137-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip
OBS: Fiz o preventivo só para precaução. As regras acima já barravam o trafego netbios.
É, solução definitiva tenho pela certeza que não é. Estou de todas as formas que conheço tentando isolar totalmente todo e qualquer trafego entre cliente (inclusive broadcast e multicast) por regras de firewall.
Essas regras acima por algum motivo ainda passa broadcast e multicast entre clientes o que ainda atrapalha o desempenho da rede. Estou procurando algo que realmente isole os clientes de forma definitiva (totalmente seguro sei que nunca vou conseguir, mas o que passar pela minhas regras ficarão nos logs.)
Infelizmente meu conhecimento sobre camadas e tal é um tanto limitado. Sei o básico sobre TCP/IP e OSI, ainda estou engatinhando por assim dizer.
E sei que realmente colocar mascara 30 nos clientes é inviável, pois além de dar muito trabalho, é facilmente burlado. Regras de firewall também não dá tanta confiabilidade quanto uma criptografia com EAP para garantir a identidade dos hosts. Mas por ser mais prático creio e ainda nos dá oportunidade de usar outro tipo de segurança.
Estou trabalhando justamente em regras de firewall por ser pratico e não precisar ir de terminal a terminal para fazer ajustes de rede. Mas tenho em mente que realmente, segurança é criptografia.
Continuarei fazendo testes com outras regras que estou começando a implementar e se der certo postarei os resultados.
Para quem reamente quer isolar os clientes, esse pessoal criou um sistema muito funcional. HostCERT - A Solu Vale a pena entender os principios utilizados por eles.
Tem funcionado bem? Esse método é fácil demais para acreditar....Citação:
Postado originalmente por jbssi