1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Dúvidas Isolar um AP do acesso intranet

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por p!nk., 19 de Abril de 2012. (Respostas: 5; Visualizações: 1603)

  1. p!nk.

    p!nk. Power Member

    Boas Tardes ;)

    partindo do cenário que existe uma LAN, dividida em duas VLAN's ... onde ambas partilham recursos ,
    gostaria de saber se é possivel, ter um AP Wireless que apenas permitisse que quem se ligasse ali, só teria acesso ao exterior e não à intranet ...
    para isso, basta alocar esse AP como membro único de uma terceira VLAN, e tirando partido das capacidades Layer3 do switch (que as tem), fazer para a porta onde o AP liga, a seguinte e única rota:
    uma rota estática do tipo 0.0.0.0 next hop => ip.do.gateway.internet ....

    é isto possível ???
     
  2. marcelo_ribeiro

    marcelo_ribeiro Power Member

    Em termos de redes, isso é possível de fazer.
    Crias uma VLAN específica, com endereçamento proprio, se quiseres.
    Quanto à criação de uma rota estática... ao estar numa VLAN diferente, não sei até que ponto se irá justificar isso. A não ser que estejas a fazer inter vlan routing, não deverás conseguir aceder às outras VLAN's.
     
    Última edição: 19 de Abril de 2012
  3. ptfuzi

    ptfuzi Power Member

    sim é possível fazer isso com as vlan.. precisas é de saber a melhor forma de o fazer!
     
  4. Dr_Lion

    Dr_Lion Power Member

    O conceito de Vlan na prática é o utilizador de uma vlan não ter acesso á outras vlans (ou o que se passe nelas). Resumindo é como se fossem redes físicas separadas.
     
  5. The Coin Operator

    The Coin Operator Power Member

    Claro que é possível, depende do equipamento que tiveres.
    O próprio AP pode ter essa funcionalidade, se o AP não tiver podes fazer como referiste.

    Partindo do princípio que estamos a falar de equipamentos Cisco (L3 switch como referiste, do estilo 3550 ou 3750), crias uma terceira Vlan e metes essa vlan na porta do switch (por exemplo, interface gig 0/3 switchport mode access vlan 10), crias nesse mesmo switch uma interface vlan (vai ser a gateway): Int vlan 10 / ip address 192.168.2.62 255.255.255.224 e a rota estática já deve estar criada anteriormente, pois presumo que tenhas as outras vlans a aceder à internet), mas se não tiveres ip route 0.0.0.0 0.0.0.0 next hop (não metas a interface de saída pois sem proxy ARP às vezes dá problemas, em ethernet claro).

    Uma nota, para isolares completamente o tráfego da Vlan do AP, deves criar uma access-list. Pois como estamos a falar de um L3 switch, a routing table vai ter as rotas das outras vlans directly connected, e, por conseguinte irá conseguir aceder às mesmas. Para efectuar isso crias uma access list do estilo:

    access-list 101 deny ip any 192.168.1.0 0.0.0.255
    access-list 101 deny ip any 192.168.2.0 0.0.0.255
    access-list 101 permit tcp any any eq 80
    access-list 101 permit tcp any any eq 443
    (permitir só http e https, protocolos mais usados, mais seguro) ou access-list 101 permit ip any any (acesso internet total incluindo torrents e essas cenas que estouram largura de banda).

    Deves aplicar esta access-list na interface Vlan do AP, partindo do princípio que é a vlan 10:

    interface vlan 10
    ip access-group 101 in


    Para mais segurança, aconselhava a criação de uma standard access-list nas interfaces vlan das outras duas vlans, just in case:

    access-list 2 deny 192.168.2.32 0.0.0.31

    E depois deves aplicar a mesma:

    interface vlan [vlan dados]
    ip access-group 2 out


    Desta maneira tens a certeza que mesmo que tenhas enganado na extended access-list, ainda tens uma standard access-list para impedir que o tráfego da subnet do AP entre nas redes de dados.

    Atenção, deves com certeza proteger-te contra os ataques mais básicos, nomeadamente contra o vlan-hopping attack (double vlan header), e switch spoofing attack.

    Para mitigar o primeiro, nenhuma porta activa pode estar na vlan 1 (untagged por defeito nos Cisco), metes todas as portas noutras vlans. Metes todos o native trunks numa vlan que cai no vazio (a mais usada é 999).
    Em relação ao swicth spoofing, configuras todas as portas como access,o DTP tem que estar desligado (switchport nonegotiate)

    Experimenta e diz se deu.

    Cumprimentos.
     
  6. p!nk.

    p!nk. Power Member

    Antes de mais, obrigado a todos os que responderam a esta minha duvida ... :)

    Sim, existirá inter vlan routing ... pois existirão equipamentos partilhados, pelas varias VLAN's.

    quanto ao que tu me disseste, The Coin Operator ...
    para infelicidade minha, não estamos a falar de equipamentos CISCO ... antes estivessemos, pois também me sinto mais familiarizado com eles ... e a nível de suporte, são do melhor e mais completos ...

    estamos a falar dum equipamento HP, mais concretamente, de um HP V1910-24G ... com "algumas" capacidades L3 :)
    cliente CLI de config. está fora de questão ...
    o ambiente de gestão deste switch é via browser interface ...

    não necessitarei de aplicar assiiiiiiiiiiiim tanta segurança ... pois para alem da empresa ser pequena (< 20 trabalhadores), o ponto de acesso Wireless é para apenas permitir que aquando de alguem vier cá a empresa, numa reunião ou algo, e caso necessite de um simples acesso à internet, ter onde se ligar ... e apenas evitar que este "guest" tenha acesso aos mesmos conteúdos que o resto do pessoal na Intranet.

    portanto, já soube o que me importava saber - Isolar o acesso.
    e implementar-lo-ei, da simples maneira de pendurar o AP numa outra gama de endereços, com um um gateway do genero 0.0.0.0 next hop acesso exterior ...
     

Partilhar esta Página