Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Obrigado a todos que responderam. É muito complexo essa parte de Vlan e isolamento de porta. O fabricante utiliza o termo "Vlan" em seu produto, mas não é Vlan...é isolamento de porta...tenso, isso parece ser propaganda enganosa, mas como não domino o assunto, não posso afirmar.

    Citação Postado originalmente por biohazzard Ver Post
    vLAN, não impede um ataque tipo homem no meio, mas vpn "virtual private network" já dificulta esta pratica de ataque.
    Olá biohazzard, tudo bem? Não impede de alguém conectado no roteador B, com muito conhecimento, capturar os pacotes do que trafegam no roteador A? Ou você se refere que é possível no caminho todinho comunicação com da internet?

    A minha dúvida é bem específica à rede mostrada pela figura no meu primeiro post. Assim, o receio é alguém conectado no roteador B sniffar os pacotes do roteador A ou alguém do roteador tentar utilizar a técnica homem no meio.

    Como aconteceria essa passagem de pacotes do roteador A para o B? Como alguém poderia fazer isso? O que pode ser feito para impedir que os pacotes possam ser capturados por algum dispositivos mal intencionado conectado no roteador B? Há algo que eu possa fazer nesse Switch?


    Citação Postado originalmente por alexandrecorrea Ver Post
    na verdade o que este switch propoe eh um isolamento de PORTAS.. a teoria de vlan fica 'estranha' neste sentido..

    este switch da intelbras possui uma porta uplink (1 ou 8) e as outras conversam diretamente apenas com ela (upload)

    quem esta na porta 2 por exe3mplo, nao consegue 'escutar' trafego da porta 3 (ou das demais portas).

    mas imagine que voce faça cascata de 2 switchs.. exemplo:

    sw1 ligado no sw2 pelas portas uplink (1-1)..

    clientes nas portas 2 a 8 nos dois switchs..


    se um cliente do switch1.. tentar falar com um cliente do swtcih 2.. ele vai conseguir... (como se fosse um switch normal).
    Obrigado por responder alexandrecorrea, mas se eu entendi sua resposta, eu não vou utilizar switchs em cascatas, a rede terá a topologia como eu mostro na figura no meu primeiro post.

    Assim, ainda persiste a dúvida, quanto a possibilidade, considerando o cenário da figura que eu mostro, ser possível ou não, alguém conectado no roteador B conseguir sniffar o roteador A e com isso capturar pacotes e se é possível também, ataque do tipo homem no meio, considerando o atacante no roteador B e as vítimas no roteador A.

    Quanto a teoria de Vlans, porque será que o fabricante intelbras utiliza o termo Vlan nesse modelo de Switch SF 800 V? Se não é uma recurso de Vlan, eu não entendi porque ela utiliza o termo Vlan.



    Citação Postado originalmente por marcoantoni Ver Post
    Não vai impedir. A VLAN apenas cria um segmento de rede no qual cada porta do switch pode pertencer a uma VLAN fazendo que qualquer tráfego da rede seja direcionado ao roteador/gateway. Se quer evitar ataques de homem no meio, use protocolos com criptografia assimétrica como HTTPS, SSH.
    Obrigado marcoantoni por responder.

    Em sua resposta, quando você afirma que não vai impedir, também você o faz considerando o atacante no roteador B ou em qualquer nó na internet até o destino da comunicação? Ou você afirma que quem estiver no roteador B, poderá capturar os pacotes do Roteador A e também é possível fazer ataque homem no meio?

    Sobre usar protocolos HTTPS e SSH, ainda assim não seria possível sucesso no ataque com SSLStrip ou SSLSniff (https://blog.kaspersky.com.br/what-i...le-attack/462/ ) ? Daí meu receio, mesmo com HTTPS alguém poderia capturar senhas etc... logo pensei em separar mesmo quem estiver no roteador B de quem estiver no roteador A.

    Pessoal, dessa forma, ainda não ficou claro pra mim como alguém conseguiria fazer isso, se tecnicamente, considerando o cenário da minha rede, utilizando o SF 800 V, como alguém no roteador B conseguiria pegar pacotes do A ou fazer MITM : se é isolamento de porta ( ou Vlan que vocês dizem não ser) que não impede propagação de pacotes ou outra coisa.


    Como os provedores fazem (como vocês fazem!?) para proteger os clientes em suas redes e impedir que os clientes mal intencionados snifem a rede ou promovam ataque no homem ao meio? Como as grandes empresas fazem? Como os hotei ou grandes hotéis fazem? Será que ninguém preocupa com captura de pacotes? Rsrsrsrsr

    Manual do SF 800 V (http://www.intelbras.com.br/sites/de...e_sf_800_v.pdf)
    Descrição do modelo SF 800 Vlan.
    http://www.intelbras.com.br/busca?keywords=SF+800



    E vocês sabem a diferença entre o modelo SF 800 VLAN e o SF 800 V da intelbras?

  2. se alguem da porta B tentar capturar pacotes da PORTA A, não via conseguir, isso é valido para QUALQUER SWITCH.. com ou sem VLAN..


    antigamente, usava-se HUB´s, que são encaminhadores de pacotes, apenas istos.. e são burros... ele recebe um pacote numa porta.. e ENCAMINHA para TODAS... isso permitia o uso de analisadores de protocolos e capturar senhas, e informações...

    já os SWITCHS mantem um database de MAC x portas... então quando um trafego CHEGA, ele analisa para QUAL porta deve encaminhar... ou seja.. enquanto um HUB possui um unico 'dominio de broadcast', o switch possui N dominio de broadcast (cada porta é um).

    para acontecer o MITM, precisaria fazer algo fisicamente, uma BRIDGE por ex. para poder capturar o trafego...


    sua outra pergunta de o porque os fabricantes usam o termo VLAN, é que existe um método parecido, e cada fabricante tem um nome.. alguns de port-isolate, port-based, enfim..



  3. Captura de pacote não tem, mas tem o scan de portas.

    Se passar por server dlna pra tentar rodar conteúdo remoto e executar algo malicioso, ou pelas portas que responderam definir qual o software em uso e tentar emular server dele, essas coisas.

    Isso é problema pra ataque direcionado, não pra ataque em massa, e... o que dá mais dinheiro hoje é ransonware, um ataque direcionado com sequestro de dados.

    O WMP já teve uma ou outra falha que permitia a execução de comando remoto só de rodar mídia remota (DLNA faz isso), o Skype já reportou servers fake pra captura de dados, exploração de falhas zero-day não é incomum, o bloqueio à portas não é pra impedir falhas conhecidas mas sim as futuras.


    Tudo isso é barrado se colocar um mísero roteador na porta lan do cliente, lá na casa dele, com ele autenticando na sua rede, com ele roteando pra uma faixa de IP diferente, barra o acesso direto ao micro (Enquanto colocar autenticação no micro do cliente facilita isso, o micro é que responde ao port scan).

  4. Sua rede Sera Toda Cabeada?


    Citação Postado originalmente por Milgrau Ver Post
    O recurso Vlan é a solução para isolar rede e impedir sniffer de rede e ataque de homem no meio? O SF 800 V da Intelbras tem esse recurso e penso em utilizá-lo da seguinte forma:

    Anexo 61923

    Assim, eu protegeria os clientes do roteador A de possíveis sniffer e ataque tipo homem no meio vindo do roteador B?



  5. Citação Postado originalmente por alexandrecorrea Ver Post
    se alguem da porta B tentar capturar pacotes da PORTA A, não via conseguir, isso é valido para QUALQUER SWITCH.. com ou sem VLAN..


    antigamente, usava-se HUB´s, que são encaminhadores de pacotes, apenas istos.. e são burros... ele recebe um pacote numa porta.. e ENCAMINHA para TODAS... isso permitia o uso de analisadores de protocolos e capturar senhas, e informações...

    já os SWITCHS mantem um database de MAC x portas... então quando um trafego CHEGA, ele analisa para QUAL porta deve encaminhar... ou seja.. enquanto um HUB possui um unico 'dominio de broadcast', o switch possui N dominio de broadcast (cada porta é um).

    para acontecer o MITM, precisaria fazer algo fisicamente, uma BRIDGE por ex. para poder capturar o trafego...


    sua outra pergunta de o porque os fabricantes usam o termo VLAN, é que existe um método parecido, e cada fabricante tem um nome.. alguns de port-isolate, port-based, enfim..
    Então, nesse cenário que pretendo montar, usando o Switch SF 800 V e dois roteadores ligados a eles, é garantido que quem estiver no roteador B não conseguirá utilizar o wireshark para pegar senhas ou analisar os pacotes de quem estiver no roteador A? E da mesma forma, é garantido que não é possível fazer o ataque MITM? Quanto ao acesso aos equipamentos, somente eu terei.

    Citação Postado originalmente por rubem Ver Post
    Captura de pacote não tem, mas tem o scan de portas.

    Se passar por server dlna pra tentar rodar conteúdo remoto e executar algo malicioso, ou pelas portas que responderam definir qual o software em uso e tentar emular server dele, essas coisas.

    Isso é problema pra ataque direcionado, não pra ataque em massa, e... o que dá mais dinheiro hoje é ransonware, um ataque direcionado com sequestro de dados.

    O WMP já teve uma ou outra falha que permitia a execução de comando remoto só de rodar mídia remota (DLNA faz isso), o Skype já reportou servers fake pra captura de dados, exploração de falhas zero-day não é incomum, o bloqueio à portas não é pra impedir falhas conhecidas mas sim as futuras.


    Tudo isso é barrado se colocar um mísero roteador na porta lan do cliente, lá na casa dele, com ele autenticando na sua rede, com ele roteando pra uma faixa de IP diferente, barra o acesso direto ao micro (Enquanto colocar autenticação no micro do cliente facilita isso, o micro é que responde ao port scan).
    Eu não entendi bem, mas obrigado por responder. Aqui não iremos rodar midia remota e não entendi muito bem sua resposta sobre ter scanner de porta. Tipo, vc diz que seria possivel quem estiver no roteador B fazer um scam de portas no roteador A? Passando pelo isolamento de porta do Switch SF 800 V?


    Citação Postado originalmente por flavioleonel Ver Post
    Sua rede Sera Toda Cabeada?
    Do Swicht até os roteadores sim, depois em cada roteadores terá dispositivos conectados via cabo e por wireless. Seria essa sua pergunta?






Tópicos Similares

  1. Respostas: 1
    Último Post: 06-12-2015, 09:39
  2. Solução para Webmail...Diferente de UEB MIAU
    Por s3ri4l no fórum Servidores de Rede
    Respostas: 16
    Último Post: 31-12-2004, 08:43
  3. Solucao para pequeno escritorio
    Por dr4k no fórum Servidores de Rede
    Respostas: 6
    Último Post: 12-06-2003, 16:54
  4. Respostas: 1
    Último Post: 10-03-2003, 11:37
  5. Solucao para Impressao
    Por Maiko no fórum Servidores de Rede
    Respostas: 3
    Último Post: 14-01-2003, 15:56

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L