O recurso VLAN é a solução para isolar rede e impedir sniffer de rede e ataque de homem no meio?

[Milgrau]

O recurso Vlan é a solução para isolar rede e impedir sniffer de rede e ataque de homem no meio? O SF 800 V da Intelbras tem esse recurso e penso em utilizá-lo da seguinte forma:



Assim, eu protegeria os clientes do roteador A de possíveis sniffer e ataque tipo homem no meio vindo do roteador B?

[Milgrau]

Pessoal, este post eu criei no lugar errado, acho que o local correto seria em redes ou segurança. Será que os moderadores poderiam mover pra mim?

obrigado.

[biohazzard]

vLAN, não impede um ataque tipo homem no meio, mas vpn "virtual private network" já dificulta esta pratica de ataque.

[alexandrecorrea]

na verdade o que este switch propoe eh um isolamento de PORTAS.. a teoria de vlan fica 'estranha' neste sentido..

este switch da intelbras possui uma porta uplink (1 ou 8) e as outras conversam diretamente apenas com ela (upload)

quem esta na porta 2 por exe3mplo, nao consegue 'escutar' trafego da porta 3 (ou das demais portas).

mas imagine que voce faça cascata de 2 switchs.. exemplo:

sw1 ligado no sw2 pelas portas uplink (1-1)..

clientes nas portas 2 a 8 nos dois switchs..


se um cliente do switch1.. tentar falar com um cliente do swtcih 2.. ele vai conseguir... (como se fosse um switch normal).

[marcoantoni]

Não vai impedir. A VLAN apenas cria um segmento de rede no qual cada porta do switch pode pertencer a uma VLAN fazendo que qualquer tráfego da rede seja direcionado ao roteador/gateway. Se quer evitar ataques de homem no meio, use protocolos com criptografia assimétrica como HTTPS, SSH.

[Milgrau]

Obrigado a todos que responderam. É muito complexo essa parte de Vlan e isolamento de porta. O fabricante utiliza o termo "Vlan" em seu produto, mas não é Vlan...é isolamento de porta...tenso, isso parece ser propaganda enganosa, mas como não domino o assunto, não posso afirmar.

vLAN, não impede um ataque tipo homem no meio, mas vpn "virtual private network" já dificulta esta pratica de ataque.

Olá biohazzard, tudo bem? Não impede de alguém conectado no roteador B, com muito conhecimento, capturar os pacotes do que trafegam no roteador A? Ou você se refere que é possível no caminho todinho comunicação com da internet?

A minha dúvida é bem específica à rede mostrada pela figura no meu primeiro post. Assim, o receio é alguém conectado no roteador B sniffar os pacotes do roteador A ou alguém do roteador tentar utilizar a técnica homem no meio.

Como aconteceria essa passagem de pacotes do roteador A para o B? Como alguém poderia fazer isso? O que pode ser feito para impedir que os pacotes possam ser capturados por algum dispositivos mal intencionado conectado no roteador B? Há algo que eu possa fazer nesse Switch?

na verdade o que este switch propoe eh um isolamento de PORTAS.. a teoria de vlan fica 'estranha' neste sentido..

este switch da intelbras possui uma porta uplink (1 ou 8) e as outras conversam diretamente apenas com ela (upload)

quem esta na porta 2 por exe3mplo, nao consegue 'escutar' trafego da porta 3 (ou das demais portas).

mas imagine que voce faça cascata de 2 switchs.. exemplo:

sw1 ligado no sw2 pelas portas uplink (1-1)..

clientes nas portas 2 a 8 nos dois switchs..


se um cliente do switch1.. tentar falar com um cliente do swtcih 2.. ele vai conseguir... (como se fosse um switch normal).

Obrigado por responder alexandrecorrea, mas se eu entendi sua resposta, eu não vou utilizar switchs em cascatas, a rede terá a topologia como eu mostro na figura no meu primeiro post.

Assim, ainda persiste a dúvida, quanto a possibilidade, considerando o cenário da figura que eu mostro, ser possível ou não, alguém conectado no roteador B conseguir sniffar o roteador A e com isso capturar pacotes e se é possível também, ataque do tipo homem no meio, considerando o atacante no roteador B e as vítimas no roteador A.

Quanto a teoria de Vlans, porque será que o fabricante intelbras utiliza o termo Vlan nesse modelo de Switch SF 800 V? Se não é uma recurso de Vlan, eu não entendi porque ela utiliza o termo Vlan.

Não vai impedir. A VLAN apenas cria um segmento de rede no qual cada porta do switch pode pertencer a uma VLAN fazendo que qualquer tráfego da rede seja direcionado ao roteador/gateway. Se quer evitar ataques de homem no meio, use protocolos com criptografia assimétrica como HTTPS, SSH.

Obrigado marcoantoni por responder.

Em sua resposta, quando você afirma que não vai impedir, também você o faz considerando o atacante no roteador B ou em qualquer nó na internet até o destino da comunicação? Ou você afirma que quem estiver no roteador B, poderá capturar os pacotes do Roteador A e também é possível fazer ataque homem no meio?

Sobre usar protocolos HTTPS e SSH, ainda assim não seria possível sucesso no ataque com SSLStrip ou SSLSniff (https://blog.kaspersky.com.br/what-i...le-attack/462/ ) ? Daí meu receio, mesmo com HTTPS alguém poderia capturar senhas etc... logo pensei em separar mesmo quem estiver no roteador B de quem estiver no roteador A.

Pessoal, dessa forma, ainda não ficou claro pra mim como alguém conseguiria fazer isso, se tecnicamente, considerando o cenário da minha rede, utilizando o SF 800 V, como alguém no roteador B conseguiria pegar pacotes do A ou fazer MITM : se é isolamento de porta ( ou Vlan que vocês dizem não ser) que não impede propagação de pacotes ou outra coisa.


Como os provedores fazem (como vocês fazem!?) para proteger os clientes em suas redes e impedir que os clientes mal intencionados snifem a rede ou promovam ataque no homem ao meio? Como as grandes empresas fazem? Como os hotei ou grandes hotéis fazem? Será que ninguém preocupa com captura de pacotes? Rsrsrsrsr

Manual do SF 800 V (http://www.intelbras.com.br/sites/de...e_sf_800_v.pdf)
Descrição do modelo SF 800 Vlan.
http://www.intelbras.com.br/busca?keywords=SF+800



E vocês sabem a diferença entre o modelo SF 800 VLAN e o SF 800 V da intelbras?

[alexandrecorrea]

se alguem da porta B tentar capturar pacotes da PORTA A, não via conseguir, isso é valido para QUALQUER SWITCH.. com ou sem VLAN..


antigamente, usava-se HUB´s, que são encaminhadores de pacotes, apenas istos.. e são burros... ele recebe um pacote numa porta.. e ENCAMINHA para TODAS... isso permitia o uso de analisadores de protocolos e capturar senhas, e informações...

já os SWITCHS mantem um database de MAC x portas... então quando um trafego CHEGA, ele analisa para QUAL porta deve encaminhar... ou seja.. enquanto um HUB possui um unico 'dominio de broadcast', o switch possui N dominio de broadcast (cada porta é um).

para acontecer o MITM, precisaria fazer algo fisicamente, uma BRIDGE por ex. para poder capturar o trafego...


sua outra pergunta de o porque os fabricantes usam o termo VLAN, é que existe um método parecido, e cada fabricante tem um nome.. alguns de port-isolate, port-based, enfim..

[rubem]

Captura de pacote não tem, mas tem o scan de portas.

Se passar por server dlna pra tentar rodar conteúdo remoto e executar algo malicioso, ou pelas portas que responderam definir qual o software em uso e tentar emular server dele, essas coisas.

Isso é problema pra ataque direcionado, não pra ataque em massa, e... o que dá mais dinheiro hoje é ransonware, um ataque direcionado com sequestro de dados.

O WMP já teve uma ou outra falha que permitia a execução de comando remoto só de rodar mídia remota (DLNA faz isso), o Skype já reportou servers fake pra captura de dados, exploração de falhas zero-day não é incomum, o bloqueio à portas não é pra impedir falhas conhecidas mas sim as futuras.


Tudo isso é barrado se colocar um mísero roteador na porta lan do cliente, lá na casa dele, com ele autenticando na sua rede, com ele roteando pra uma faixa de IP diferente, barra o acesso direto ao micro (Enquanto colocar autenticação no micro do cliente facilita isso, o micro é que responde ao port scan).

[flavioleonel]

Sua rede Sera Toda Cabeada?

O recurso Vlan é a solução para isolar rede e impedir sniffer de rede e ataque de homem no meio? O SF 800 V da Intelbras tem esse recurso e penso em utilizá-lo da seguinte forma:



Assim, eu protegeria os clientes do roteador A de possíveis sniffer e ataque tipo homem no meio vindo do roteador B?

[Milgrau]

se alguem da porta B tentar capturar pacotes da PORTA A, não via conseguir, isso é valido para QUALQUER SWITCH.. com ou sem VLAN..


antigamente, usava-se HUB´s, que são encaminhadores de pacotes, apenas istos.. e são burros... ele recebe um pacote numa porta.. e ENCAMINHA para TODAS... isso permitia o uso de analisadores de protocolos e capturar senhas, e informações...

já os SWITCHS mantem um database de MAC x portas... então quando um trafego CHEGA, ele analisa para QUAL porta deve encaminhar... ou seja.. enquanto um HUB possui um unico 'dominio de broadcast', o switch possui N dominio de broadcast (cada porta é um).

para acontecer o MITM, precisaria fazer algo fisicamente, uma BRIDGE por ex. para poder capturar o trafego...


sua outra pergunta de o porque os fabricantes usam o termo VLAN, é que existe um método parecido, e cada fabricante tem um nome.. alguns de port-isolate, port-based, enfim..

Então, nesse cenário que pretendo montar, usando o Switch SF 800 V e dois roteadores ligados a eles, é garantido que quem estiver no roteador B não conseguirá utilizar o wireshark para pegar senhas ou analisar os pacotes de quem estiver no roteador A? E da mesma forma, é garantido que não é possível fazer o ataque MITM? Quanto ao acesso aos equipamentos, somente eu terei.

Captura de pacote não tem, mas tem o scan de portas.

Se passar por server dlna pra tentar rodar conteúdo remoto e executar algo malicioso, ou pelas portas que responderam definir qual o software em uso e tentar emular server dele, essas coisas.

Isso é problema pra ataque direcionado, não pra ataque em massa, e... o que dá mais dinheiro hoje é ransonware, um ataque direcionado com sequestro de dados.

O WMP já teve uma ou outra falha que permitia a execução de comando remoto só de rodar mídia remota (DLNA faz isso), o Skype já reportou servers fake pra captura de dados, exploração de falhas zero-day não é incomum, o bloqueio à portas não é pra impedir falhas conhecidas mas sim as futuras.


Tudo isso é barrado se colocar um mísero roteador na porta lan do cliente, lá na casa dele, com ele autenticando na sua rede, com ele roteando pra uma faixa de IP diferente, barra o acesso direto ao micro (Enquanto colocar autenticação no micro do cliente facilita isso, o micro é que responde ao port scan).

Eu não entendi bem, mas obrigado por responder. Aqui não iremos rodar midia remota e não entendi muito bem sua resposta sobre ter scanner de porta. Tipo, vc diz que seria possivel quem estiver no roteador B fazer um scam de portas no roteador A? Passando pelo isolamento de porta do Switch SF 800 V?

Sua rede Sera Toda Cabeada?

Do Swicht até os roteadores sim, depois em cada roteadores terá dispositivos conectados via cabo e por wireless. Seria essa sua pergunta?

[alexandrecorrea]

ligue o modem na porta UPLINK.. (geralmente eh 1 ou 8).. e os roteadores nas portas 2,3,4,5,6 ou 7 ...

[rubem]

Eu não entendi bem, mas obrigado por responder. Aqui não iremos rodar midia remota e não entendi muito bem sua resposta sobre ter scanner de porta. Tipo, vc diz que seria possivel quem estiver no roteador B fazer um scam de portas no roteador A? Passando pelo isolamento de porta do Switch SF 800 V?

No SF800V não vai ter esse problema.

Mas estava emendando na resposta do @alexandrecorrea que disse que em switch comum já não existe mais a captura de pacotes, só em hub.

Num switch comum (Não num com VLAN) o micro na porta 2 pode mandar pacotes pra porta 3, ele não pode pegar os pacotes destinados à porta 3 mas pode enviar pacotes pra lá, pode escanear em que portas esse micro responde, e com base nisso definir algum ataque.

Ou então pode rodar no micro na porta 2 um servidor qualquer, digamos um servidor DLNA. Se o micro na porta 3 tiver um cliente DLNA este estará escaneando a rede o tempo todo em busca de servidores, essas facilidades do Windows são um prato cheio pra blackhat's por isso, o default do Windows é achar tudo o que tem na rede, outras impressoras, outros micros, outros dispositivos UPNP, etc. Se o micro 3 resolver fazer conexão com o server DLNA (E o Windows Media Player, aquele software pra noobs, faz isso, avisa que encontrou um server DLNA e dá a opção de abrir) o micro 3 vai executar localmente um conteúdo hospedado no micro 2, se for conteúdo malicioso tá feita a sujeira, o melhor a fazer seria um trojan pra abrir alguma porta pra acesso remoto, rodou o trojan via DLNA, aí depois pelo trojan ou bakcdoor você pelo micro na porta 2 acessando o da porta 3 faz o resto, seja futricar em dados, deletar eles, "sequestrar" os dados, ou mesmo instalar um dns fake pra acessar um site fake do banco e pegar dados bancários, ou rodar keylogger, enfim, o céu é o limite (No caso, o inferno).

Por isso você não pode permitir que um cliente seu enxergue o outro de jeito nenhum, sua preocupação com VLAN é justa. O problema é que tem gente que vai achar que como sniffer de pacotes não funciona em switch (Só em hub) os scan's de portas ou outros métodos não funcionarão.


E só ter um roteador no default no cliente também não resolve tudo, se o cliente 2 conhecer o cliente 3, pode mandar email com link pra um site com cabeçalho pra alterar o server DNS desse cliente, digamos algo assim


Isso muda o server dns no roteador (Se tiver os usuarios e senhas do BD, admin, gvt, root, toor, nimda, 12345, eles tem geralmente meia centenas de usuarios e senhas em várias combinações), ao invés de mudar pra um server distante muda pra um server dns no seu micro, coloca como relay e repassa todos os pedidos mas LOGA (Armazena data/hora e o site acessado, monitora a rotina, etc), não é tão maléfico mas é invasão de privacidade, se perguntar "Porque alguém faria isso?" tem que perguntar porque existe stalker no mundo, um adolescente de 14 ou 15 anos apaixonado por uma vizinha é capaz de fazer muito mais que isso, a questão não é os porque's e sim como evitar isso, e usar switch l2 comum não evita isso, evita talvez que a dona-de-casa no micro2 não mande imprimir na impressora de rede no micro3, mas não impede outros problemas que usuário avançado pode criar.

A questão não é o que você vai fornecer ou não, mas o que um cliente com conhecimento avançado pode fazer nos outros clientes. Esse switch SF800v é justamente pra esse uso, pra onde se quer isolar um pouco mais os clientes.

[alexandrecorrea]

Exatamente isso.. sem a isolação por portas (que o sf800 faz), as portas falam-se... (que é o papel do switch, interligar segmentos).


o SF800 vem com essa funcao de ISOLAR as portas.. quando você não quer que um o equipamento da porta X nao veja o da porta Y

[Milgrau]

ligue o modem na porta UPLINK.. (geralmente eh 1 ou 8).. e os roteadores nas portas 2,3,4,5,6 ou 7 ...

Sim sim, obrigado. Essa informação ficou claro pra mim e está no manual desse switch da Intelbras.

No SF800V não vai ter esse problema.

Mas estava emendando na resposta do @alexandrecorrea que disse que em switch comum já não existe mais a captura de pacotes, só em hub.

Num switch comum (Não num com VLAN) o micro na porta 2 pode mandar pacotes pra porta 3, ele não pode pegar os pacotes destinados à porta 3 mas pode enviar pacotes pra lá, pode escanear em que portas esse micro responde, e com base nisso definir algum ataque.

Ou então pode rodar no micro na porta 2 um servidor qualquer, digamos um servidor DLNA. Se o micro na porta 3 tiver um cliente DLNA este estará escaneando a rede o tempo todo em busca de servidores, essas facilidades do Windows são um prato cheio pra blackhat's por isso, o default do Windows é achar tudo o que tem na rede, outras impressoras, outros micros, outros dispositivos UPNP, etc. Se o micro 3 resolver fazer conexão com o server DLNA (E o Windows Media Player, aquele software pra noobs, faz isso, avisa que encontrou um server DLNA e dá a opção de abrir) o micro 3 vai executar localmente um conteúdo hospedado no micro 2, se for conteúdo malicioso tá feita a sujeira, o melhor a fazer seria um trojan pra abrir alguma porta pra acesso remoto, rodou o trojan via DLNA, aí depois pelo trojan ou bakcdoor você pelo micro na porta 2 acessando o da porta 3 faz o resto, seja futricar em dados, deletar eles, "sequestrar" os dados, ou mesmo instalar um dns fake pra acessar um site fake do banco e pegar dados bancários, ou rodar keylogger, enfim, o céu é o limite (No caso, o inferno).

Por isso você não pode permitir que um cliente seu enxergue o outro de jeito nenhum, sua preocupação com VLAN é justa. O problema é que tem gente que vai achar que como sniffer de pacotes não funciona em switch (Só em hub) os scan's de portas ou outros métodos não funcionarão.


E só ter um roteador no default no cliente também não resolve tudo, se o cliente 2 conhecer o cliente 3, pode mandar email com link pra um site com cabeçalho pra alterar o server DNS desse cliente, digamos algo assim


Isso muda o server dns no roteador (Se tiver os usuarios e senhas do BD, admin, gvt, root, toor, nimda, 12345, eles tem geralmente meia centenas de usuarios e senhas em várias combinações), ao invés de mudar pra um server distante muda pra um server dns no seu micro, coloca como relay e repassa todos os pedidos mas LOGA (Armazena data/hora e o site acessado, monitora a rotina, etc), não é tão maléfico mas é invasão de privacidade, se perguntar "Porque alguém faria isso?" tem que perguntar porque existe stalker no mundo, um adolescente de 14 ou 15 anos apaixonado por uma vizinha é capaz de fazer muito mais que isso, a questão não é os porque's e sim como evitar isso, e usar switch l2 comum não evita isso, evita talvez que a dona-de-casa no micro2 não mande imprimir na impressora de rede no micro3, mas não impede outros problemas que usuário avançado pode criar.

A questão não é o que você vai fornecer ou não, mas o que um cliente com conhecimento avançado pode fazer nos outros clientes. Esse switch SF800v é justamente pra esse uso, pra onde se quer isolar um pouco mais os clientes.

@rubem obrigado novamente por responder e tentar ajudar, esclarecendo minhas dúvidas.

Gostei muito desse seu post pois e, ele abriu o leque de possibilidade de ataques nos quais antes eu não havia imaginado. É que no meu entendimento, um malware ativo no sistema é mais fácil de percebermos e resolver o problema com antivírus ou de forma manual analisando com programas específicos os processos etc. Já um com sniffer de rede, eu acho que é mais dificil de saber se tem alguém capturando tudo que passa pela rede, daí o medo muito grande quanto a isso. E também a questão do ataque do homem ao meio...

Contudo, confesso que me assustei agora com sua explicação sobre servidor DLNA, nunca tinha pensando nisso ou lido sobre (pesquisado), e é muito perigoso mesmo.

Acho que um scan de porta, para um cliente normal que não roda serviços, não deve ser um grande problema, pelo menos para quem procurar manter o seu sistema atualizado.

“O problema é que tem gente que vai achar que como sniffer de pacotes não funciona em switch (Só em hub) os scan's de portas ou outros métodos não funcionarão”.

Quais seriam os outros métodos, além dos que você já mencionou?
Quanto ao ataque aos modens/roteadores é um problema sério mesmo, mas daí já não depende da gente que administra a rede. Se o cliente coloca um roteador por sua conta e não coloca senha, fica difícil mesmo. Quanto a isso eu só não entendi bem essa parte, acho por não saber o que é relay ainda

“ao invés de mudar pra um server distante muda pra um server dns no seu micro, coloca como relay e repassa todos os pedidos mas LOGA (Armazena data/hora e o site acessado, monitora a rotina, etc)”.

E desculpa perguntar, esse switch da intelbras é L2 ou L3? Fiquei meio perdido aqui. E você disse que ele é para esse uso mesmo, quando se quer isolar um pouco mais os clientes. E para isolar por completo, o que tem que ser feito? Qual hardware usar?

Quais são os erros mais grosseiros, em sua opinião, que os “provedores” deixam seus clientes expostos? Qual erro não poderia ocorrer de forma alguma? Seria esse isolamento de porta?

Exatamente isso.. sem a isolação por portas (que o sf800 faz), as portas falam-se... (que é o papel do switch, interligar segmentos).

Ok, obrigado pela informação.

o SF800 vem com essa funcao de ISOLAR as portas.. quando você não quer que um o equipamento da porta X nao veja o da porta Y

Sim sim, obrigado pela informação.

[deson00]

VLAN nao esta diretamente relacionado a porta do switch ou router, ou seja pode se usar vlan em redes bridges onde switchs seja compatíveis com esta tecnologia, exemplo criar uma vlan do mikrotik ate um ubiquit que passa por varios switch,
mas nada impede que o usuario possa descobrir o id da vlan que passa por estes switchs e efetuar um scan.
vlan 1 pra 1 isolaria de forma mais concreta e cabo direto tambem.