Página 12 de 12 PrimeiroPrimeiro ... 789101112
+ Responder ao Tópico



  1. Pessoal aos que usam criptografia, e aos que usam sub-redes, existem de diversas formas, métodos de segurança que podem ser implantados no MK.

    Filtros de bridge, e de interfaces são feitos para que o que vem de um para outro seja dropado de tal forma.

    Mais a segurança também depende dos equipamentos que existem na rede, pois as vezes a disposição de regras para estes filtros dependem de modelos e até compatibilidades dos fabricantes.

  2. Bom, também não sou nenhum expert no assunto, mas com o tempo vamos adquirindo alguma experiência.
    Fiz algumas regras em bridge, simples mas funcional. Cliente não pingam entre si, não se enchergam via NetBios, não disparam dhcp na rede. Em todos os meus testes os resultados foram positivos. Mas creio que possa haver falhas que gostariam que analisassem e discutissem se isso realmente funciona.

    Segue em as regras para mikrotik. Versão 3.30 ou superior. Essas regras funcionam para mikrotik em bridge. E deve se criar o drop e a marcação de pacotes para cada interface na bridge onde os clientes se conectam.


    /interface bridge filter
    ######Aceita conexões para winbox,winbox discovery####################
    add action=accept chain=input comment="ACEITA WINBOX POR IP" disabled=no dst-port=8291 ip-protocol=tcp mac-protocol=ip
    add action=accept chain=input comment="ACEITA WINBOX POR MAC" disabled=no dst-port=20561 ip-protocol=udp mac-protocol=ip
    add action=accept chain=input comment="ACEITA WINBOX DISCOVERY" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
    ########Marcando pacotes que não tenham como destino o gateway #########################################
    add action=mark-packet chain=input comment="MARCA PACOTES QUE NAO TENHAM COMO DESTINO O GATEWAY" disabled=no dst-address=\
    !IP DO GATEWAY/32 in-interface=INTERFACE mac-protocol=ip new-packet-mark=INTERFACE_mp
    add action=log chain=input comment=LOG disabled=yes log-prefix=DROP packet-mark=INTERFACE_mp
    add action=drop chain=input comment="DROPA PACOTES MARCADOS QUE NAO TEM COMO DESTINO O GATEWAY" disabled=no packet-mark=\
    INTERFACE_mp
    add action=drop chain=input comment="DROPA TODOS PROTOCOLOS DE MAC QUE NAO SEJAM IP" disabled=no in-interface=INTERFACE \
    mac-protocol=!ip
    add action=drop chain=forward comment="PREVENTIVO NETBIOS" disabled=no dst-port=137-139 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=137-139 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip

    OBS: Fiz o preventivo só para precaução. As regras acima já barravam o trafego netbios.



  3. É, solução definitiva tenho pela certeza que não é. Estou de todas as formas que conheço tentando isolar totalmente todo e qualquer trafego entre cliente (inclusive broadcast e multicast) por regras de firewall.
    Essas regras acima por algum motivo ainda passa broadcast e multicast entre clientes o que ainda atrapalha o desempenho da rede. Estou procurando algo que realmente isole os clientes de forma definitiva (totalmente seguro sei que nunca vou conseguir, mas o que passar pela minhas regras ficarão nos logs.)
    Infelizmente meu conhecimento sobre camadas e tal é um tanto limitado. Sei o básico sobre TCP/IP e OSI, ainda estou engatinhando por assim dizer.
    E sei que realmente colocar mascara 30 nos clientes é inviável, pois além de dar muito trabalho, é facilmente burlado. Regras de firewall também não dá tanta confiabilidade quanto uma criptografia com EAP para garantir a identidade dos hosts. Mas por ser mais prático creio e ainda nos dá oportunidade de usar outro tipo de segurança.
    Estou trabalhando justamente em regras de firewall por ser pratico e não precisar ir de terminal a terminal para fazer ajustes de rede. Mas tenho em mente que realmente, segurança é criptografia.
    Continuarei fazendo testes com outras regras que estou começando a implementar e se der certo postarei os resultados.

  4. Para quem reamente quer isolar os clientes, esse pessoal criou um sistema muito funcional. HostCERT - A Solu Vale a pena entender os principios utilizados por eles.



  5. Citação Postado originalmente por jbssi Ver Post
    Pessoal,

    Funcionou na forma abaixo:

    https://under-linux.org/C:\Documents...top\imagem.JPG






    João Silva
    Tem funcionado bem? Esse método é fácil demais para acreditar....






Tópicos Similares

  1. Configurar Mascara 24 para 16
    Por eduardi no fórum Redes
    Respostas: 8
    Último Post: 01-11-2010, 18:28
  2. como rotear uma rede /24 para redes /27???
    Por dyllong no fórum Redes
    Respostas: 8
    Último Post: 09-03-2010, 13:16
  3. Como mudar para terminal 13
    Por duker no fórum Servidores de Rede
    Respostas: 0
    Último Post: 08-06-2005, 09:24
  4. como mudar de usuario para root???
    Por no fórum Sistemas Operacionais
    Respostas: 3
    Último Post: 24-06-2004, 17:19
  5. Ajuda!! como mudar a porta padrão 21 do Proftp para outra..
    Por cr4sh no fórum Servidores de Rede
    Respostas: 5
    Último Post: 06-02-2004, 09:12

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L