+ Responder ao Tópico



  1. #1

    Padrão Forma de bloquear Sniffing e isolar usuários

    Galera boa noite a todos, sou novato em Mikrotik e gostaria de tirar uma duvida aqui com vocês. No caso vi em um dos grupos de MK que participo de uma pessoa que comentou uma dica de segurança para as redes para impedir que algum usuário espertinho faça Sniffer ou algo do tipo na rede e capture dados dos demais usuários.

    No caso ele explicou que tinha como criar diversas subredes (em uma mesma interface) com mascara de rede /30 onde o gateway seria um aliase para a placa local do Mikrotik, o outro do cliente e o terceiro o Broadcast.

    No caso o próprio DHCP gerenciaria e enviaria o IP correto para cada cliente de forma automática (como deveria fazer).
    Algum de vocês utiliza isso em ambiente de produção? Se sim como vocês fizeram?
    Agradeço desde já qualquer ajuda.

    Att. Tácio Andrade.

  2. #2

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    Nesse metodo você terá que criar uma (Sub-rede) para cada cliente, Ex: Cliente A: 192.168.10.1/30 (Essa configuração será feita na mesma interface onde atenderá os clientes e poderá ter uma sub-rede, uma para cada cliente) onde no cliente irá ficar dessa forma (IP: 192.168.10.2, Máscara: 255.255.255.252 e Gateway: 192.168.10.1,

    Depois crie um DHCP Server, Adicione a rede do cliente Ex: Em Networks, Address: 192.168.10.0/30 Gateway: 192.168.10.1, Netmask: 30 e DNS 192.168.10.1, e na aba leases você pode amarrar o IP ao MAC do cliente para ele receber sempre o IP que você configurou Ex: Address: 192.168.10.2, MAC: xx:xx:xx:xx:xx:xx.




    Espero que eu tenha explicado de maneira simples....

  3. #3

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    Usa pppoe server!

  4. #4

    Red face Re: Forma de bloquear Sniffing e isolar usuários

    BitPC cara muito obrigado por sua resposta cara, é exatamente isso que estava querendo. Não sabia que poderia criar N dhcps e subredes para uma mesma placa cara, esta solução é mesmo a resolução do meu problema, MUITO OBRIGADO!!!!!!

    Vou pesquisar a regra manual e criar isso em forma de scrip para criar dezenas de sub redes ao mesmo tempo no meu MK. =D


    Valeu por compartilhar seu conhecimento cara, a maior parte das pessoas nos foruns do facebook, mesmo sabendo como fazer, estavam ou me cobrando por consultoria (não acho errado, porem atualmente como estudante da ferramenta e estudante na vida real, não teria como fazer XD) ou então se calando, para não ensinar os demais membros do grupo, por lá só estão mesmo tendo discussões sobre hardware, agora dicas de segurança ou algo do tipo, nenhum deles está compartilhando.


    Abração e boa noite. =D

  5. #5

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    DARKFOX valeu pela dica do PPPOE, mais no caso que estou pensando em implantar não teria como, no caso essa rede é para uma instituição de ensino e apenas para acesso wifi dos estudantes, funcionários e visitantes, por isso o PPPOE não é a melhor solução.

    Agora não sabia que o PPPOE fazia um "tunel" desta forma que bloqueace a possibilidade de um sniffer de rede, valeu mesmo por esta informação, me será muito útil. =D


    Att. Tácio Andrade.

  6. #6

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    Citação Postado originalmente por tacioandrade Ver Post
    BitPC cara muito obrigado por sua resposta cara, é exatamente isso que estava querendo. Não sabia que poderia criar N dhcps e subredes para uma mesma placa cara, esta solução é mesmo a resolução do meu problema, MUITO OBRIGADO!!!!!!

    Vou pesquisar a regra manual e criar isso em forma de scrip para criar dezenas de sub redes ao mesmo tempo no meu MK. =D


    Valeu por compartilhar seu conhecimento cara, a maior parte das pessoas nos foruns do facebook, mesmo sabendo como fazer, estavam ou me cobrando por consultoria (não acho errado, porem atualmente como estudante da ferramenta e estudante na vida real, não teria como fazer XD) ou então se calando, para não ensinar os demais membros do grupo, por lá só estão mesmo tendo discussões sobre hardware, agora dicas de segurança ou algo do tipo, nenhum deles está compartilhando.


    Abração e boa noite. =D
    Criar N sub-redes não resolve a questão de sniffer.
    Nem mesmo o compartilhamento.
    Apenas dificulta, mas ainda continua possível.

    A unica alternativa é usar SW com Vlan quando Rede cabeada
    E ativar a opção isolação de cliente, quando Wireless

  7. #7

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    Citação Postado originalmente por mascaraapj Ver Post
    Criar N sub-redes não resolve a questão de sniffer.
    Nem mesmo o compartilhamento.
    Apenas dificulta, mas ainda continua possível.

    A unica alternativa é usar SW com Vlan quando Rede cabeada
    E ativar a opção isolação de cliente, quando Wireless
    Cara como é que funciona essa isolação de clientes Wireless? Nunca tinha ouvido falar nesta opção. No meu caso vou usar wifi nesta rede que estou montando, achava que a /30 não iria mesmo funcionar, pois ela capitura todos os pacotes, se usar o modo promiscuo, mais tinha ouvido falar como aliar isso a VLan, por isso procurei saber mais sobre o assunto.

  8. #8

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    Citação Postado originalmente por tacioandrade Ver Post
    Cara como é que funciona essa isolação de clientes Wireless? Nunca tinha ouvido falar nesta opção. No meu caso vou usar wifi nesta rede que estou montando, achava que a /30 não iria mesmo funcionar, pois ela capitura todos os pacotes, se usar o modo promiscuo, mais tinha ouvido falar como aliar isso a VLan, por isso procurei saber mais sobre o assunto.
    vc vai usar mikrotik como AP?

    Detalhe: não adianta nada ativar a opcao isolação de cliente no AP, se vc usar Switch simples antes dele.
    Exceto se esse esse AP fazer NAT....

  9. #9

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    Citação Postado originalmente por mascaraapj Ver Post
    vc vai usar mikrotik como AP?

    Detalhe: não adianta nada ativar a opcao isolação de cliente no AP, se vc usar Switch simples antes dele.
    Exceto se esse esse AP fazer NAT....
    No caso para varrer toda a área necessitarei de pelo menos 3 ou 4 APs, para isso pretendo usar a minha RB 433 AH como AP e mais 3 roteadores ou APs Unifi Ubiquiti (ainda a definir) para distribuir a internet. No caso nosso link já vem em uma porta, então teria mais 2 portas livre que poderiam ser usadas se fosse o caso para os APs. Mais no caso essa isolação é vlan, correto? Se eu usar um switch com suporte a VLan (layer 2 apenas) esse isolamento funcionaria?

  10. #10

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    Citação Postado originalmente por tacioandrade Ver Post
    No caso para varrer toda a área necessitarei de pelo menos 3 ou 4 APs, para isso pretendo usar a minha RB 433 AH como AP e mais 3 roteadores ou APs Unifi Ubiquiti (ainda a definir) para distribuir a internet. No caso nosso link já vem em uma porta, então teria mais 2 portas livre que poderiam ser usadas se fosse o caso para os APs. Mais no caso essa isolação é vlan, correto? Se eu usar um switch com suporte a VLan (layer 2 apenas) esse isolamento funcionaria?
    Se usar SW com vlan, vc vai impedir que as pessoas conectadas em um AP enxergue as conectadas em outro AP.
    Porem, as pessoas conectadas no mesmo AP continuaram se enxergando.
    Ai que entra a opção isolação de cliente no AP.

  11. #11

    Padrão Re: Forma de bloquear Sniffing e isolar usuários

    Como eu faço essa isolação se for apenas no MK? Você tem algum material sobre isso?

    No caso minha ideia era usar APs Unifi também, agora vou reestudar tudo para ver se vale a pena colocar mk em todos os APs (pelo preço) para manter o isolamento ou não. =S