Recurso Vlan de switch não gerencial da Intelbras protege mesmo contra sniffer e ataque MITM ?

Question

Com o  Switch SF 800 V  com o recurso VLAN,  utilizando-se dessa topologia de rede,  estaria mesmo os  dispositivos conectados roteador A protegido de sniffer de rede e atques MITM vindos do roteador B?

Algu&eacute;m j&aacute; testou esse Switch da Intebras e ele protege mesmo ao isolar com as redes com o recurso VLAN?

Answer

N&atilde;o. Se voc&ecirc; ativar o uso de VLANs a&iacute; s&oacute; vai conseguir fazer com que os equipamentos parem de se comunicar.

Em tempo, onde vc viu que VLANs serviriam pra isso?

Answer

Desculpa se n&atilde;o ficou claro, mas o objetivo &eacute; disponibilizar internet para quem estiver no roteador A e no roteador B, de forma que eles n&atilde;o se enxerguem, aumentando assim a seguran&ccedil;a. Assim, eu pensei que o Switch SF 800 V dariam acesso a internet ambos mas ao mesmo tempos isolaria, sem comunica&ccedil;&atilde;o o roteador A do B, de forma at&eacute; mesmo impedir captura de pacotes do A para o B ou do B para o A.

Veja no site oficial: http://www.intelbras.com.br/empresarial/redes-opticas-e-cabeadas/switches/nao-gerenciaveis/sf-800-vlan

O trecho que fala de isolar:

Segmenta&ccedil;&atilde;o da rede

Sua fun&ccedil;&atilde;o VLAN fixa permite a segmenta&ccedil;&atilde;o da rede por VLANs, o que impede que um computador conectado ao switch acesse outro, j&aacute; que as portas s&atilde;o tratadas como redes independentes. Isso garante mais seguran&ccedil;a e privacidade aos usu&aacute;rios conectados.

Ser&aacute; que para esse objetivo, a tipologia mostrada n&atilde;o figura n&atilde;o &eacute; a correta? Ou o equipamento que tem Vlan Fixa n&atilde;o cumpre o objetivo de isolar o roteador A do B?

Answer

Ent&atilde;o... a fun&ccedil;&atilde;o das VLANs &eacute; essa mesma, isolar os computadores, de forma que eles n&atilde;o possam se comunicar uns com os outros.
S&oacute; que esse efeito n&atilde;o &eacute; seletivo. Uma vez que vc coloca um computador numa VLAN, ele s&oacute; se comunica com outros computadores da mesma VLAN. Isso significa que a menos que vc colocasse tamb&eacute;m o modem na mesma VLAN, os roteadores n&atilde;o poderiam comunicar com ele. Notou que agora temos um dilema? Se vc coloca o modem em uma VLAN, ele se comunica com um dos roteadores, e n&atilde;o com o outro...

Como se sai desse dilema? Levando as VLANs at&eacute; o modem. Se ele fosse um equipamento mais elaborado, seria capaz de tamb&eacute;m separar a comunica&ccedil;&atilde;o em VLANs, e assim permitir a comunica&ccedil;&atilde;o interna entre elas. S&oacute; que &eacute; muito, muito raro encontrar um modem que tenha essa fun&ccedil;&atilde;o.

Answer

Mas ent&atilde;o, se eu entendi o que voc&ecirc; falou, somente um dos roteadores ter&aacute; acesso a internet? E n&atilde;o ambos ao mesmo tempo?

De acordo com manual, p&aacute;g 9,  eu interpretei que teria acesso:

Ser&aacute; que &eacute; isso mesmo? Somente um roteador ter&aacute; acesso a internet e n&atilde;o ambos? Pra mim dava a entender que se eu ligasse os roteadores nas portas como mostra a imagem acima e a internet vindo do modem na porta oito (que funciona como uplink), ambos os roteadores, e logo os seus dispositivos conectados, teriam acesso a internet. E a&iacute;?

Editei para acrescentar:

Lendo o f&oacute;rum da Intelbras, vejo essa pergunta:

Lendo o manual n&atilde;o ficou claro como &eacute; a porta uplink citada. Ela &eacute; uma porta do tipo tronco, com todo tr&aacute;fego sendo feito com o cabe&ccedil;alho ethernet que contem o VLAN ID ? OU &eacute; um quadro ethernet normal ? Se for um quadro VLAN, qual os IDs das VLANs ?

E o suporte da Intelbras respondeu:

A porta uplink do SF 800 V n&atilde;o faz nenhuma marca&ccedil;&atilde;o de tag de VLAN nos pacotes. O switch apenas isola as portas LAN dele de 1 a 7, fazendo com que elas tenham comunica&ccedil;&atilde;o apenas com a porta uplink, no caso, a porta 8.

Ser&aacute; que isso acrescenta alguma coisa no sentido de sanar a minha d&uacute;vida?

Answer

Bastante... isso n&atilde;o &eacute; VLAN, &eacute; isolamento de portas. Sendo assim, cai por terra o que eu falei. Deve funcionar como voc&ecirc; quer.
PS: Fique atento pois isso n&atilde;o &eacute; uma solu&ccedil;&atilde;o que siga algum padr&atilde;o ou norma. O que &eacute; sin&ocirc;nimo de erros esdr&uacute;xulos e dificuldades pra depurar.

Answer

Mas o fabricante anuncia como Vlan...Afinal, qual a diferença entre isolamento de porta e Vlan? Aqui, o objetivo mesmo era somente proteger quem estiver conectado no roteador A de sniffers vindo do roteador B e todo tipo de ataque relacionado como homem no meio . Se esse isolamento de porta realmente cumprir esse objetivo, pra mim está tranquilo.

Obrigado pela ajuda Jqueiroz!

Obrigado pela ajuda Jqueiroz!

Answer

VLANs s&atilde;o parti&ccedil;&otilde;es l&oacute;gicas de um switch. Elas isolam totalmente as portas, e s&atilde;o identificadas por n&uacute;meros. Quando vc comunica dois switches configurados com VLANs, eles precisam trocar uma marca&ccedil;&atilde;o de VLAN, normalmente atrav&eacute;s do protocolo 802.1q. Portas que transportam quadros com marca&ccedil;&atilde;o s&atilde;o chamadas portas tronco, e voc&ecirc; n&atilde;o pode ligar um computador normal a elas; tem que ligar alguma coisa que entenda o protocolo 802.1q, como um roteador profissional, um servidor de rede, ou um outro switch com VLANs habilitadas.

Answer

jqueiroz disse: VLANs s&atilde;o parti&ccedil;&otilde;es l&oacute;gicas de um switch. Elas isolam totalmente as portas, e s&atilde;o identificadas por n&uacute;meros. Quando vc comunica dois switches configurados com VLANs, eles precisam trocar uma marca&ccedil;&atilde;o de VLAN, normalmente atrav&eacute;s do protocolo 802.1q. Portas que transportam quadros com marca&ccedil;&atilde;o s&atilde;o chamadas portas tronco, e voc&ecirc; n&atilde;o pode ligar um computador normal a elas; tem que ligar alguma coisa que entenda o protocolo 802.1q, como um roteador profissional, um servidor de rede, ou um outro switch com VLANs habilitadas.
Entendi, obrigado. Eu andei pesquisando muito sobre Vlan por esses dias, mas &eacute; complexo de assimilar tudo isso, muito mesmo.

Pensando num ouro cen&aacute;rio, se eu colocar um servidor Mikrotik  ligado no roteador A, nas configura&ccedil;&otilde;es dessa servidor, &eacute; poss&iacute;vel criar regras (firewall) impedindo a captura de pacotes do roteador A? N&atilde;o precisa ser o mikrotik, pode ser qualquer servidor firewall conseguiria fazer isso?

Qual seria o melhor cen&aacute;rio para proteger os dispositivos confi&aacute;veis dos dispositivos n&atilde;o confi&aacute;veis?

Answer

Qual seria o melhor cen&aacute;rio para proteger os dispositivos confi&aacute;veis dos dispositivos n&atilde;o confi&aacute;veis?
Eu colocaria duas redes wireless, uma com autentica&ccedil;&atilde;o WPA2-Enterprise e certificados criptogr&aacute;ficos para as m&aacute;quinas confi&aacute;veis, outra com WPA2-PSK para os dispositivos n&atilde;o-confi&aacute;veis.

As duas seriam reunidas por um UTM que faria o encaminhamento para a Internet.

Observe que o uso de criptografia j&aacute; faria a prote&ccedil;&atilde;o de umas m&aacute;quinas das outras, dentro da mesma rede.

Answer

Complexo, muito complexo. Por enquanto vou deixar quieto e arriscar com Switch SF 800 V mesmo. Existe algum teste simples que possa verificar que os pacotes n&atilde;o podem ser capturados de um roteador para outro?

Em tempo, vc falou de criptografia, em alguns roteadores dom&eacute;sticos eu vi a op&ccedil;&atilde;o isolation AP. essa fun&ccedil;&atilde;o impede  quem estiver conectado a rede wireless sem senha, de snifar outros dispositivos conectados na mesma rede sem senha?

Answer

N&atilde;o &eacute; nada simples capturar pacotes em rede wireless, pois n&atilde;o basta colocar a rede em modo prom&iacute;scuo. Acho at&eacute; que &eacute; mais simples capturar em rede cabeada, vc s&oacute; precisa fazer um MacFlood em cima do switch at&eacute; estourar a tabela de encaminhamento dele.

Tenha em mente que nas redes wireless atuais, mesmo que duas esta&ccedil;&otilde;es estejam conectadas e autenticadas, uma n&atilde;o tem acesso ao tr&aacute;fego da outra, pois a criptografia n&atilde;o bate --- cada esta&ccedil;&atilde;o criptografa suas mensagens com chaves diferentes das outras. A melhor op&ccedil;&atilde;o pra fazer essa captura seria tentar pegar algum switch adiante e tentar estourar sua tabela de encaminhamento por meio de algum ataque MacFlood.

Answer

Ent&atilde;o ligar clientes por wireless, mesmo que no mesmo roteador &eacute; at&eacute; mais seguro? Agora, sobre o Macflood, isso funciona at&eacute; com os melhores switchs ou somente com os baratinhos, tipo esse da intelbras (Switch SF 800 V)?

Mas eu n&atilde;o sei porque, n&atilde;o vou me sentir confort&aacute;vel de pegar um roteador apenas e dividir internet com outros dispositivos, sabendo que est&aacute; conectados dispositivos n&atilde;o confi&aacute;veis. Por que em alguns testes simples que fiz, eu pigava todos eles, da&iacute; se eu pigava os dispositivos wireless, &eacute; porque havia comunica&ccedil;&atilde;o, logo poss&iacute;vel capturar pacotes e fazer ataque homem ao meio? Tudo que j&aacute; li sobre ataque homem ao meio, nos artigos tutoriais etc, era preciso estar na mesma rede, eu entendi o mesmo roteador. Da&iacute; o medo. Por isso pensei nesse Switch SF 800 V... poderia ser uma forma mais barata e f&aacute;cil de resolver o problema de sniffer (roubo de senha e ataque homem no meio).

Prover seguran&ccedil;a n&atilde;o &eacute; f&aacute;cil hein? Internet ou protocolos s&atilde;o todos vulner&aacute;veis? credo... Nossa, sempre se tem um jeito pra tudo, de burlar e comprometer. Por isso que tem banco online que insiste em completar a transa&ccedil;&atilde;o somente mandando sms para o celular do cliente? Por mais que algu&eacute;m pegue a senha de acesso ao banco, mas sem o celular e o c&oacute;digo gerado para aquela opera&ccedil;&atilde;o ele n&atilde;o ter&aacute; sucesso.

Answer

Ent&atilde;o ligar clientes por wireless, mesmo que no mesmo roteador &eacute; at&eacute; mais seguro?
Se voc&ecirc; olha apenas em termos do isolamento do tr&aacute;fego uns dos outros, sim, pode ser mais seguro. Mas h&aacute; muito mais aspectos pra olhar al&eacute;m disso. E isso s&oacute; acontece se vc estiver usando pelo menos criptografia WPA.

Agora, sobre o Macflood, isso funciona at&eacute; com os melhores switchs ou somente com os baratinhos, tipo esse da intelbras (Switch SF 800 V)?
O MacFlood funciona com qualquer switch que trabalhe em modo Fail Open e n&atilde;o tenha controles do tipo Port Security.
Tenha em mente tamb&eacute;m que, mais do que em qualquer outra &aacute;rea, em redes, o equipamento vai te dar aquilo pelo que voc&ecirc; pagou; assim, equipamentos baratos v&atilde;o te dar servi&ccedil;o barato. Se quiser servi&ccedil;o de qualidade, tem que pagar por isso.

Prover seguran&ccedil;a n&atilde;o &eacute; f&aacute;cil hein?
Voc&ecirc; n&atilde;o faz ideia do quanto.

Internet ou protocolos s&atilde;o todos vulner&aacute;veis? credo...
N&atilde;o &eacute; bem a&iacute;. &Eacute; tudo uma quest&atilde;o de risco e custo da solu&ccedil;&atilde;o. Voc&ecirc; tem que levar em conta o tipo de usu&aacute;rio que vc tem (n&atilde;o sei se vc observou, mas voc&ecirc; est&aacute; se precavendo contra atitudes do seu usu&aacute;rio interno. Essa precau&ccedil;&atilde;o &eacute; t&atilde;o rara quanto correta...), o custo de levantar barreiras, e o custo de consertar o estrago, se alguma coisa der errado.

Ferramentas

Mover Tópico