ligue o modem na porta UPLINK.. (geralmente eh 1 ou 8).. e os roteadores nas portas 2,3,4,5,6 ou 7 ...
Versão Imprimível
ligue o modem na porta UPLINK.. (geralmente eh 1 ou 8).. e os roteadores nas portas 2,3,4,5,6 ou 7 ...
No SF800V não vai ter esse problema.
Mas estava emendando na resposta do @alexandrecorrea que disse que em switch comum já não existe mais a captura de pacotes, só em hub.
Num switch comum (Não num com VLAN) o micro na porta 2 pode mandar pacotes pra porta 3, ele não pode pegar os pacotes destinados à porta 3 mas pode enviar pacotes pra lá, pode escanear em que portas esse micro responde, e com base nisso definir algum ataque.
Ou então pode rodar no micro na porta 2 um servidor qualquer, digamos um servidor DLNA. Se o micro na porta 3 tiver um cliente DLNA este estará escaneando a rede o tempo todo em busca de servidores, essas facilidades do Windows são um prato cheio pra blackhat's por isso, o default do Windows é achar tudo o que tem na rede, outras impressoras, outros micros, outros dispositivos UPNP, etc. Se o micro 3 resolver fazer conexão com o server DLNA (E o Windows Media Player, aquele software pra noobs, faz isso, avisa que encontrou um server DLNA e dá a opção de abrir) o micro 3 vai executar localmente um conteúdo hospedado no micro 2, se for conteúdo malicioso tá feita a sujeira, o melhor a fazer seria um trojan pra abrir alguma porta pra acesso remoto, rodou o trojan via DLNA, aí depois pelo trojan ou bakcdoor você pelo micro na porta 2 acessando o da porta 3 faz o resto, seja futricar em dados, deletar eles, "sequestrar" os dados, ou mesmo instalar um dns fake pra acessar um site fake do banco e pegar dados bancários, ou rodar keylogger, enfim, o céu é o limite (No caso, o inferno).
Por isso você não pode permitir que um cliente seu enxergue o outro de jeito nenhum, sua preocupação com VLAN é justa. O problema é que tem gente que vai achar que como sniffer de pacotes não funciona em switch (Só em hub) os scan's de portas ou outros métodos não funcionarão.
E só ter um roteador no default no cliente também não resolve tudo, se o cliente 2 conhecer o cliente 3, pode mandar email com link pra um site com cabeçalho pra alterar o server DNS desse cliente, digamos algo assim
Anexo 61945
Isso muda o server dns no roteador (Se tiver os usuarios e senhas do BD, admin, gvt, root, toor, nimda, 12345, eles tem geralmente meia centenas de usuarios e senhas em várias combinações), ao invés de mudar pra um server distante muda pra um server dns no seu micro, coloca como relay e repassa todos os pedidos mas LOGA (Armazena data/hora e o site acessado, monitora a rotina, etc), não é tão maléfico mas é invasão de privacidade, se perguntar "Porque alguém faria isso?" tem que perguntar porque existe stalker no mundo, um adolescente de 14 ou 15 anos apaixonado por uma vizinha é capaz de fazer muito mais que isso, a questão não é os porque's e sim como evitar isso, e usar switch l2 comum não evita isso, evita talvez que a dona-de-casa no micro2 não mande imprimir na impressora de rede no micro3, mas não impede outros problemas que usuário avançado pode criar.
A questão não é o que você vai fornecer ou não, mas o que um cliente com conhecimento avançado pode fazer nos outros clientes. Esse switch SF800v é justamente pra esse uso, pra onde se quer isolar um pouco mais os clientes.
Exatamente isso.. sem a isolação por portas (que o sf800 faz), as portas falam-se... (que é o papel do switch, interligar segmentos).
o SF800 vem com essa funcao de ISOLAR as portas.. quando você não quer que um o equipamento da porta X nao veja o da porta Y
Sim sim, obrigado. Essa informação ficou claro pra mim e está no manual desse switch da Intelbras.
@rubem obrigado novamente por responder e tentar ajudar, esclarecendo minhas dúvidas.
Gostei muito desse seu post pois e, ele abriu o leque de possibilidade de ataques nos quais antes eu não havia imaginado. É que no meu entendimento, um malware ativo no sistema é mais fácil de percebermos e resolver o problema com antivírus ou de forma manual analisando com programas específicos os processos etc. Já um com sniffer de rede, eu acho que é mais dificil de saber se tem alguém capturando tudo que passa pela rede, daí o medo muito grande quanto a isso. E também a questão do ataque do homem ao meio...
Contudo, confesso que me assustei agora com sua explicação sobre servidor DLNA, nunca tinha pensando nisso ou lido sobre (pesquisado), e é muito perigoso mesmo.
Acho que um scan de porta, para um cliente normal que não roda serviços, não deve ser um grande problema, pelo menos para quem procurar manter o seu sistema atualizado.
Citação:
“O problema é que tem gente que vai achar que como sniffer de pacotes não funciona em switch (Só em hub) os scan's de portas ou outros métodos não funcionarão”.
Quais seriam os outros métodos, além dos que você já mencionou?
Quanto ao ataque aos modens/roteadores é um problema sério mesmo, mas daí já não depende da gente que administra a rede. Se o cliente coloca um roteador por sua conta e não coloca senha, fica difícil mesmo. Quanto a isso eu só não entendi bem essa parte, acho por não saber o que é relay ainda
E desculpa perguntar, esse switch da intelbras é L2 ou L3? Fiquei meio perdido aqui. E você disse que ele é para esse uso mesmo, quando se quer isolar um pouco mais os clientes. E para isolar por completo, o que tem que ser feito? Qual hardware usar?Citação:
“ao invés de mudar pra um server distante muda pra um server dns no seu micro, coloca como relay e repassa todos os pedidos mas LOGA (Armazena data/hora e o site acessado, monitora a rotina, etc)”.
Quais são os erros mais grosseiros, em sua opinião, que os “provedores” deixam seus clientes expostos? Qual erro não poderia ocorrer de forma alguma? Seria esse isolamento de porta?
Sim sim, obrigado pela informação.
VLAN nao esta diretamente relacionado a porta do switch ou router, ou seja pode se usar vlan em redes bridges onde switchs seja compatíveis com esta tecnologia, exemplo criar uma vlan do mikrotik ate um ubiquit que passa por varios switch,
mas nada impede que o usuario possa descobrir o id da vlan que passa por estes switchs e efetuar um scan.
vlan 1 pra 1 isolaria de forma mais concreta e cabo direto tambem.