Ir ao conteúdo

Posts recomendados

Postado

Olá!

 

Existe roteadores que isolam os clientes conectados por cabo? No wifi, sei que existe, e alguns fabricantes chama a função de AP ISOLATION. Apesar que em alguns testes que fiz  com wireshark em alguns roteadores, percebi que alguns modelos a função não funcionava direito, pois filtrando e pesquisando apenas pelo protocolo arp, dava para saber todos os dispositivos conectado no roteador. 

 

Assim, existe algum roteador que tenha essa função de AP ISOLATION para não haver comunicação entre os aparelhos  ligados por cabo e também também isolar de quem estiver por cabo e wifi?

 

 

  • Membro VIP
Postado
2 horas atrás, wagner2029 disse:

@BF3DONORDESTE por que você quer isso?

Supunhamos que você seja o dono de uma empresa, e como toda empresa tem a parte de RH, vendas, contabilidades, produção, etc; e tem a rede corporativa que possui informações confidenciais como projeto, dados de clientes, dinheiro de caixa, informações de funcionários camo salário dados pessoais, etc.

E tem o WIFI de cliente e funcionário (que possui restrinção a certas informações da empresa), se você não quiser que todo mundo que esteja conectado no teu roteador, e veja seus dados pessoais, o lucro da sua empresa e fazendo alterações por terceiros sem devida permissão, você precisa dividir a rede para que suas informações fiquem protegidas.

E quando você quer economizar, você pode usar um unico equipamento para fazer duas funções ou mais.

Um exemplo bastante usado é servidor (normalmente se usa duas em paralelo), para realização de varias tarefas, e normalmente cada tarefa é executada em um máquina virtual dedidaca como por exemplo, servidor de internet e e-mail, servidor de banco de dados, servidor de arquivos, servidor de backup, etc.

Toda função que existe em um roteador ou qualquer equipamento, se está lá é porque existe uma finalidade.

Postado

@Edvaldo J. Frederico Mas até hoje nunca vi um roteador que faça isso por cabo, somente por wifi. Essa função que você me mostrou no seu roteador, rede convidado  (Guest), o isolamento só ocorre entre quem estiver ligado pela rede wifi. E a a caixa "permitir que os convidados acessem a minha rede local" ela não funciona 100% não... fiz muitos testes com wireshark e alguns roteadores, vamos dizer assim, "vazaram" informação de quem estava na rede através do broadcast. Quem estava no cabo, obetve algumas informações de quem estava no wifi, analisando os pacotes arp pelo wireshar. Penso que se a função e isolar, ele deveria fazer 100%, de forma que os aparelhos nem façam ideia que exista outro na rede.

 

Você conhece o Wireshark? Ja fez o teste de conectividade entres os aparelhos ligados a rede por wifi com wifi e wifi com cabo, com a função habilitada e desligada?

Postado

@wagner2029 Por questões de segurança e privacidade. Um hacker pode atacar/ invadindo um aparelho (celular, computador, tv ou outro ligado ao roteador) comprometendo seus sistema operacional. Por exemplo:  se você executar um vírus no seu pc, pode ser que você abre uma porta para seu computador ficar sempre visível e disponível  para o hacker controlá-lo de fora (pela internet). Com esse acesso remoto ao seu pc, o hacker pode começar a vasculhar a rede da sua casa em busca de aparelhos vulneráveis conectado ao seu para atacá-los da mesma forma e, assim, ter mais dispositivos comprometidos fazer mais ataques internos ou ataque na internet, escondendo o IP dele. Há malweres que fazem isso automaticamente, eles recebem o nome de worms (infectam pela rede bastando estar ligado a ela ou estar visivel ao worm)

 

Porém comprometer diretamente os aparelhos é uma forma de ataque, existe outras como interceptar o tráfego da rede Ataque Man-in-the-Middle ( homem no meio) : https://www.kaspersky.com.br/blog/what-is-a-man-in-the-middle-attack/462/  e  IPipofing 

https://www.kaspersky.com.br/resource-center/definitions/ip-and-email-spoofing  e outros.

 

O problema hoje é que tudo se liga a internet ou a rede local (roteador), como as câmeras de segurança, assistente (acho maior besteira isso), TV , aparelho de canais via ( piratas ou não, mas o pirata é o menos confiável, esse pode ser um backdor da sua rede interna!). E tudo pode ser invadido e comprometido ou já vir comprometido  (trojan ou backdoor).  Então a quantidade de de aparelhos ligados ao roteador é grande e isso pode ser um problema de privacidade e segurança na minha opinião.

 

Se eu liguei meu sistema de câmeras de monitoramento da minha casa (dvr) no roteador onde está todos os aparelhos da minha casa como objetivo de ver as câmeras apenas da minha casa (localmente e não pela internet), e se um aparelho ligado no mesmo roteador  não for segurou ou se for comprometido, eles podem tentar ficar acessando as câmeras (quebrar a senha por força bruta ou alguma vulnerabilidade ou backdoor mesmo), e como tudo não existe garantia 100% de segurança, o risco existe. Com isso um sistema que que seria apenas para você monitorar internamente,  passar a ser visível para hacker na internet!!

 

Então no meu ponto de vista, hoje, isolar os aparelhos ligados no roteador, sejam eles por wifi ou cabo, é uma questão de necessidade e segurança já! 

 

Existe o rercurso Vlan, mas ele é chato de configurar e sei pouco sobre ele, E pelo que eu entendi é mais complexo que simplesmente ter um roteador que não permita comunicação entre os aparelhos ligados.

 

 

Respodendo a sua pergunta "por que você quer isso?" eu lhe respondo com outra pergunta: porque eu deveria deixar meus dispositivos ficarem se enxergando? A não ser que você queria acessar sua tv, acessar suas cameras de segurança ou outra coisa na rede interna, mas daí não é o meu caso!

 

  • Curtir 1
Postado

você só vai conseguir isso que você quer com um switch gerenciavel, esse papo de "um craquer vai invadir" é perda de tempo, se você for por esse lado você vai precisar nstalar todos os programas originais,  implementar o protocolo ipsec no servidor, criptografar todos os computadores, instalar tpm, instalar um firewall de rede e mais um monte de coisas.

Sem querer ofender, mas sua empresa não é tão importante assim para uma figura mitológica se interessar por ela, o importante mesmo é você ter backups, recomendo um hd interno inacessivel para a rede para fazer backup, dois hds externos, um espetado no servidor fazendo backup do backup e toda semana troca o hd externo, mantenha o hd externo ocioso fora da empresa e desconectado.

Sobre a segurança de acesso você poderia configurar usuario e senha para as pastas e mesmo que alguem acesse a rede não conseguirá acessar os arquivos, uma senha forte para o wifi e uma rede wifi de convidados sem acesso a rede interna.

Seria interessante configurar todos os usuários como usuários comuns sem privilégios administrativos, 80% dos virus precisam de privilegios para rodar, desativar o acesso a pendrive, uma ferramente que achei muito interessante foi da ti software para monitoramento dos funcionarios, a maioria dos cloroformios fecais são feitos pelos funcionarios.

@BF3DONORDESTE você tá com paranóia demais, se você quer segurança desse nivel você vai ter que investir muito dinheiro, alem de precisar de um monitoramento de firewall, esse serviço não sai por menos de um salário mensal

Postado

@wagner2029  Olá!

 

Mas a questão é: porque existe a separação de dispositivos conectados via wifi (AP ISOLATION) mas não existe por cabo? Você conhece algum roteador que faça esse função?

 

E como seria feito isso em um  switch gerenciavel? Através de Vlan? Ou outro recurso? Caso seja outro recurso, qual o nome dessa função?

 

Postado
1 hora atrás, BF3DONORDESTE disse:

Mas a questão é: porque existe a separação de dispositivos conectados via wifi (AP ISOLATION) mas não existe por cabo? Você conhece algum roteador que faça esse função?

 

E como seria feito isso em um  switch gerenciavel? Através de Vlan? Ou outro recurso? Caso seja outro recurso, qual o nome dessa função?

 

Numa conexão por cabo em geral o que está conectado em cada ponta tem muito mais recursos e opções de gerenciamento do que algo ligado via wifi, e aí aparecem muitas opções de isolamento.

 

Um switch gerenciável é um caminho naquela solução poética de poder usar menos equipamentos (quem sabe um só?) para controlar a rede local e esses aparelhos oferecem mesmo um caminhão de opções.

 

O V de VLAN é de virtual, e a ideia é simples: você pode por exemplo separar algumas das portas do aparelho e dedicar a redes separadas, sem qualquer tráfego entre elas. É claro que as mesmas VLAN sem o V poderiam estar presentes usando... roteadores. O exemplo mais comum de VLAN em redes pequenas ou domésticas é o de alguns provedores de acesso a internet, que separam os dados de TV, telefone e acesso a internet em VLAN separadas, como a VIVO.

 

Usando equipamentos separados são claro mais equipamentos, cabos, pontos de falha e tal. Por outro lado um switch smart com mil funções e várias VLAN ao parar deixa TODAS elas no escuro e se fossem redes distintas uma falha seria mais localizada.

 

Isso não tem uma solução mágica e única.

 

Todo o propósito de uma rede local é compartilhar recursos e não isolar :) 

 

Redes locais nada tem a ver com internet, e roteadores nada tem a ver com a internet propriamente.

 

Aí vem os tempos "modernos" e as noções de que o roteador serve pra acessar a internet, a rede local serve apenas para todo mundo poder acessar o tal "modem de internet" e coisas assim.

 

A noção de isolamento de wifi vem de uma necessidade simples: oferecer acesso à internet pode trazer usuários desconhecidos e talvez de má fé para sua rede. wifi público por exemplo.

 

wifi com necessidades distintas

 

Imagine uma instalação de uma confeitaria, com uma situação assim:

  • 20 PC em uso para contabilidade e administração
  • 10 PC com uso como terminais de caixa, com emissão de nota fiscal e acesso a um ou mais servidores locais ou na nuvem, para controle de tudo
  • 5 PCS e uma rede numa sala de demonstração onde se apresentam novos produtos
  • sensores de presença e termômetros e dispositivos de monitoramento pelos ambientes de produção, com câmeras wifi, controles de acesso e catracas
  • duas redes de acesso público para os consumidores na parte de venda ao consumidor, no salão de café e no ambiente de venda direta

Cada grupo desses tem situações muito distintas de uso, e em geral deveria ser tratado em separado.

 

Mas a realidade e os custos de suporte arrastam tudo para baixo, e se tenta resolver com um mínimo de pessoas, de aparelhos e de gerenciamento...

 

Veja uns exemplos:

 

  • As redes para acesso dos clientes em geral só existem para oferecer o acesso a internet, com um número enorme de clientes, sessões de pouca duração, pouco tráfego por estação e sem uso de recursos locais. Isso quer dizer por exemplo que no caso de DHCP um lease time mínimo é importante, para não esgotar o pool de endereços disponíveis. Isso explica por exemplo porque em muitos restaurantes tem a tradição de ter que reiniciar o roteador wifi bem em horas de movimento porque os clientes começam a reclamar que ninguém consegue acessar nada :D 
  • a rede administrativa tem clientes conhecidos e permanentes, as sessões são longas e o tráfego pode ser enorme, como o caso de impressoras e serviços de backup. Isso pode levar a dispositivos com endereços fixos,. impressoras que geram muito tráfego, pool de endereços reservados no DHCP, firewall sofisticado na entrada e portas de acesso remoto e VPN, lease times enormes no DHPC
  • a rede de demonstração na sala de reuniões tem pouco acesso, pouco tráfego e pouca importância, até aquela reunião que pode custar o emprego de muita gente se a rede parar no meio de uma apresentação. E tem as TV que os donos usam toda hora, e aquelas sessões de videoconferência... Então nada pode sair errado e não pode sair do ar... E as TVs tem que poder mostrar conteúdos que estão em servidores de mídia locais e remotos, e isso deve se estender aos tablets, celulares e equipamentos de clientes, então a rede tem que incluir esses servidores
  • a rede de segurança tem serviços externos para gravação e monitoramento e parâmetros totalmente diferentes

E por aí a vida segue...

 

Então existem muitas razões para segmentar o tráfego e separar as redes. E a internet é só um pequeno pedaço numa rede de produção, mesmo que seja de uma confeitaria ;) 

 

Considerando o custo relativamente baixo desses aparelhos, provavelmente o mais simples é segmentar a rede e usar roteadores como tal, roteando o tráfego e não como simples adaptadores LAN/WAN que é como são vistos em geral: simples caixinhas para acessar a internet e sem necessidade de comunicação entre os pontos.

 

Um ponto prático a considerar é usar roteadores que permitam preencher o endereço do gateway no serviço DHCP, porque assim se pode usar vários segmentos de rede separados mas compartilhando o mesmo gateway, uma "mão na roda administrativa". VLAN e smart switches são outro ➕ mas podem exigir conhecimento e sair caro em termos de suporte

 

 

 

 

 

  • Curtir 1
  • Amei 2
Postado

@BF3DONORDESTEo que eu estou tentando dizer é que não faz muita diferença meramente isolar os clientes, segurança é um conjunto muito maior de práticas e aparelhos, seria como dizer: ah , instalei uma cerca elétrica na minha casa e estou seguro.

Esse é apenas mais um aparelho que isolado não faz muita diferença, o que você está pedindo é um carro mil com conforto de carro de luxo e desempenho de F1 pelo mesma preço, se você for pelo lado da paranóia pode preparar o bolso que você vai precisar de muitos equipamentos e serviços para formar um conjunto de segurança.

Não estou dizendo que não se deve se preocupar com segurança, claro que se deve se preocupar com segurança, mas é inviável gastar uma quantia maior em segurança do que aquilo que está sendo protegido.

Use software original, comprei um bom antivírus para as máquinas , instale um firewall de rede e seja feliz, se tratando de poucas máquinas, uso básico e grana curta já atende bem.

Tem muita gente que fala emocionadamente em segurança mas usa programa pirata, é perda de tempo

Postado

@wagner2029  Eu entendi seu ponto de vista. Porém aqui não é empresa e nem comércio. É uma residência mesmo.

@arfneto Olá!

 

Obrigado pela explicação! 

 

 

 

Citação

 

É claro que as mesmas VLAN sem o V poderiam estar presentes usando... roteadores


 

 

 

Citação

Considerando o custo relativamente baixo desses aparelhos, provavelmente o mais simples é segmentar a rede e usar roteadores como tal

 

 Como eu faço isso para uma residência usando apenas roteadores? 

 

Citação

Um ponto prático a considerar é usar roteadores que permitam preencher o endereço do gateway no serviço DHCP, porque assim se pode usar vários segmentos de rede separados mas compartilhando o mesmo gateway, uma "mão na roda administrativa". 

Será que esses roteadores residências tem essa função? 

 

 

Por isso eu perguntei se já existe algum roteador que faça isso. Apenas provê internet mas impeça que a comunicação entre eles internamente.

 

Vi aqui na internet a função Vlan Fixa de Switchs https://under-linux.org/showthread.php?t=189671  o cara lá no fórum diz:

 

 

Citação

É para uso em prédios com cascateamento para isolar cada cliente que conecte no prédio.  É precisoso é que tenha 1 porta uplink e que somente ela enxergue as outras 7 portas, e que as outras 7 portas só enxerguem a uplink.

 

A ideia dele é parecida com a minha, porém aqui não é um prédio, é uma residência normal mesmo e queria isolar tudo que estiver ligado por cabo sem tráfego entre eles. E também isolar quem estiver por cabo de quem estiver no wifi.

 

Alguns  Switch que dizem fazer isso:

https://www.multilaser.com.br/switch-8-portas-vlan-fixa-re118/p

 

https://www.tkth.com.br/switch-giga/

 

Será que existe algum roteador que já faça tudo isso tanto no cabo quanto no wifi?

Postado
2 horas atrás, BF3DONORDESTE disse:

Será que esses roteadores residências tem essa função? 

 

Alguns roteadores tem essa função, não muitos. O software deles está cada vez mais simples. É fácil de saber: veja no manual do roteador que estiver considerando se na configuração de DHCP tem um lugar para colocar o endereço do gateway. Só isso. 

Eu não entendo a razão de não ter isso em todos. Talvez seja o medo de alguém preencher por engano apenas. O fato é que quase sempre em redes domésticas ou pequenas redes de empresa o servidor DHCP é o gateway. E muitas vezes mais que isso: é o firewall, o roteador, os telefones, as TVs e tudo mais. Só não olha as crianças e nem serve lanche.

Mas não poder escolher separar o endereço do gateway padrão do endereço do servidor DHCP é um inferno em muitas situações. Um exemplo é o que eu expliquei acima, quando você precisa de intervalos de lease diferentes, muito diferentes, para redes internas. Um outro exemplo é o que você quer fazer.

 

2 horas atrás, BF3DONORDESTE disse:

A ideia dele é parecida com a minha, porém aqui não é um prédio, é uma residência normal mesmo e queria isolar tudo que estiver ligado por cabo sem tráfego entre eles. E também isolar quem estiver por cabo de quem estiver no wifi.

 

AP isolation é uma antítese da noção de rede local. 

 

São coisas da vida moderna:  a rede local desaparece e as pessoas só veem a internet. O roteador e o AP viram apenas intermediários para acessar a internet. Mas a rede local nada tem a ver com a internet e sequer depende da internet. Por isso é uma noção meio alien o conceito de AP isolation. 

 

Um caso seria o uso de Chromecast, Roku, Amazon Fire, Apple TV, espelhamento de tela e coisas assim: você está lá no sofá com aquele celular supermoderno com tela de 6.9" vendo o vídeo da cachoeira e pensa "que tal passar essa m3rd@  para a TV aqui na frente, de 75"? Pois é. Aí você lembra do AP isolation :) 

 

Quer passar a música para o home theater de 1800W ao invés do telefone de 4W? AP isolation.

 

Quer imprimir um boleto na impressora a partir daquele PDF que está no celular? AP isolation.

 

Quer usar um servidor de mídia tipo o Plex que roda na sua TV, no celular, no tablet e no jardim de inverno? Oh.. AP Isolation.

 

Se a questão é ter uma rede wifi com menos privilégios e sem acesso a nada pode apenas pegar um roteador ou AP wifi barato e ligar na sua rede pela porta WAN dele. Ele vai fazer exatamente o que você quer. Pode se até um desses que cria varias redes wifi e ter uma sem senha que você ativa quando quer para fazer uma graça para aqueles convidados...

 

Se a questão é criar algo mais sofisticado aí deve precisar de mais equipamento, e um switch gerenciável seria um bom começo. E um segundo servidor DHCP talvez. Subnets, não sei. Aí é preciso planejar de acordo com o que tem na rede

  • Amei 1
Postado

@BF3DONORDESTE Espero que tenha ficado claro: em resumo AP isolation é mais prejuízo do que lucro porque nada mais funciona em termos de acesso à rede local e muitas vezes não é o que se quer. E se colocar um roteador ligado via porta WAN em qualquer ponto da sua rede ele vai criar, como esperado, uma nova rede local. E o que estiver ligado nessa rede quase não terá acesso à rede "de cima", onde está o seu roteador primário. <as terá acesso normal à internet. E as próprias ferramentas do roteador secundário podem bloquear ainda mais um eventual accesso.

  • Curtir 1
  • Amei 1
  • 5 meses depois...

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...