Redes Internas.. Problema

eduino

Power Member
Precisava de saber o seguinte pessoal :

Num escritório existem varios gabinetes e todos eles partilham o mesmo router! ora bem a minha questao é esta!

Quero bloquear os ips de quem nao faz parte do gabinete principal! ou seja nao quero que o gabinete 2 , tenha acesso a rede do gabinete 1

como poderei fazer isso?
 
A soluçao que estou a ver é aceder à firewall de todas as maquinas do gabinete e barrar os IP's dos outros gabinetes. Mas para isso tens que ter a certeza que os IP's são fixos.
 
firewall penso q seja uma boa alternativa....

cada gabinete é no seu local ou seja nao existe partilha entre gabinetes

se eu mudar o nome da rede os outros nao acedem??? e se mudar altero alguma coisa na rede em si?
 
Pensava que te tinha respondido, mas aparentemente não...

Workgroup diferente para ambos.
(isto se não quiseres os do 1 a ter acesso aos do 2...).
:kfold:

Inutil. Basta aceder directamente ao ip da máquina e pronto, acesso feito. Se não entendem a coisa a fundo abstenham-se de opiniões.


A soluçao que estou a ver é aceder à firewall de todas as maquinas do gabinete e barrar os IP's dos outros gabinetes. Mas para isso tens que ter a certeza que os IP's são fixos.

Semi-funcional. Muito trabalho.



A solução "cheappo" custa uns trocos. 2 routers NAT broadband extra. Dependendo do numero de ligações podes ter de ligar switches extra aos routers para aumentar o nr de portas.

Assumindo que tens todas a ligações a convergir num sitio qqr (switch/patch panel/outro) pegas em todoss cabos do Gabinete 1 e ligas ao Router NAT Extra 1. Ligas todos os cabos do Gabinete
2 ao Router NAT Extra 2. Router NAT Extra 1 e Router NAT extra 2 ligam ao router principal.

Prontinho :) Todos têm acesso à net via NAT cascade mas nenhum vê os "vizinhos".

Solução melhor mas potencialmente menos "cheappo". Metes um router ou switch managed que suporte VLAN e configuras duas VLAN's, uma para cada gabinete.
 
A melhor solucao e uma firewall, e nao e semi-funcional e totalmente funcional, e funciona com quantas networks quiseres.

ISA Server 2006
 
Depende do router.

Grande parte deles permitem vlan, configurando vlan consegues separar todo o tráfego de rede, partilhando a mesma gateway.

Sem mais
João Olival
RedesPT
 
A melhor solucao e uma firewall, e nao e semi-funcional e totalmente funcional, e funciona com quantas networks quiseres.

ISA Server 2006

Deves estar a brincar não? Pelo preço da ISA 2006 ele compra um excelente switch com VLAN e outras tantas coisas boas. Um? Provavelmente até compra 2...

E depois de que serve a ISA 2006 quando o tráfego passa pelo switch antes de chegar a ela? Claro que ele pode implementar policies e forçar o povo a ir para lá para certas coisas, mas talves não tudo...

E que impede o povo de bootar de um LiveCD e fazer o que bem quiser com a rede em raw state? Nada.

Como já foi referido a melhor solução é VLAN, mas é cara. A outra que eu dei tambem funciona e é barata, mas não é tão "limpa".

Claro que ambas assumem que o povo não tem acesso aos switches e patch panels à vontade. Se tiverem, todos os esforços são em vão...
 
E eu volto a referir:

A melhor solucao e uma firewall, e nao e semi-funcional e totalmente funcional, e funciona com quantas networks quiseres.

ISA Server 2006
 
Então eu faço-te uma pergunta simples. O que vai ele ganhar em usar um producto 3x mais caro em software em vez de uma coisa que faz o que ele quer por 1/3 do preço em hardware?

Desafia um bocado a lógica não?
 
Ja agora "shadex" explica-me uma coisa.
Ele disse que não queria que a rede 2 visse a 1 certo? Se fizermos o que eu disse eles não vão ver certo? Então faz o que ele pretendia...
Nao vou discutir contigo pois os meus conhecimentos sao ainda reduzidos (estou a estudar por conta propria...). Mas gostava que me respondesses a uma questao: se colocares o ip (se não tiveres conhecimentos aprofundados do assunto pois para "experts" não hã solução de segurança que valha...) do meu PC e tentares aceder a minha firewall não vai permitir certo?
Antes de tecerem considerações económicas deviam esclarecer melhor quem pôs a duvida.
O melhor sera mesmo ele chamar um técnico profissional e resolver o assunto assim... nem sei porque veio ao fórum (estou a ser irónico!).
(off topic: viva o corrector ortográfico do firefox!!!!)
:kfold:
 
Pensava que te tinha respondido, mas aparentemente não...



Inutil. Basta aceder directamente ao ip da máquina e pronto, acesso feito. Se não entendem a coisa a fundo abstenham-se de opiniões.




Semi-funcional. Muito trabalho.



A solução "cheappo" custa uns trocos. 2 routers NAT broadband extra. Dependendo do numero de ligações podes ter de ligar switches extra aos routers para aumentar o nr de portas.

Assumindo que tens todas a ligações a convergir num sitio qqr (switch/patch panel/outro) pegas em todoss cabos do Gabinete 1 e ligas ao Router NAT Extra 1. Ligas todos os cabos do Gabinete
2 ao Router NAT Extra 2. Router NAT Extra 1 e Router NAT extra 2 ligam ao router principal.

Prontinho :) Todos têm acesso à net via NAT cascade mas nenhum vê os "vizinhos".

Solução melhor mas potencialmente menos "cheappo". Metes um router ou switch managed que suporte VLAN e configuras duas VLAN's, uma para cada gabinete.

Por acaso assumi (provavelmente estupidamente) que ele nao tinha acesso ao router principal.
Obviamente tendo esse acesso, 1 "sub-router" por escritorio é a soluçao mais simples e facil de implementar. barra qualquer tentativa de acesso "primario" e apenas fazendo um hack fisico (mudando fichas) ou software (forçar entrada nos routers) é que se consegue alguma coisa.

Estar a implementar um isa server, vpn entre routers ou outra coisa qualquer que envolva investir mais de 500€ em material, mais vale adquirir outro acesso à internet para o outro escritorio que por esse preço tem net durante 1 ano na boa...ao dobro da velocidade (ja não é partilhada entre escritorios)
 
Ja agora "shadex" explica-me uma coisa.
Ele disse que não queria que a rede 2 visse a 1 certo? Se fizermos o que eu disse eles não vão ver certo? Então faz o que ele pretendia...

Uma coisa é não aparecer no "Meu Locais da rede" ou coisa que o valha. Outra coisa é não estar acessivél.

Vai por mim, ou fazes a sério ou tens encalhanço. Achas que um worm que explore uma vulnerabilidade do windows file sharing sabe abrir "Os Meus Locais da rede" ou semelhante? Obviamente que não. Ele vai atrás dos ip's, começando na subnet do pc onde está e expandindo.

Agora a questão do Windows Firewall. Se a dita coisa vê uma ligação de rede com NIC (placa de rede...) e vê uma subnet non-routable reservada para usos internos, assume automaticamente (e por norma correctamente...) que é uma LAN. Primeira coisa que faz é desbloquear os ports "normais" para a LAN. Logo, tens uma rede com x PC's. A menos que andes a mudar a fw à patex os ports estão expostos. O bom velho \\ipdopcdestino vai lá parar direitinho. E a fw não vai fazer nada pq assumiu que era uma LAN (correctamente) e que era isso que devia fazer (correctamente). O problema é que no caso dele todos os PC's estão no mesmo segmento. Se mudares o wg eles continuam fisicamente lá. Se mudares a gama de ip's para duas subnets, vão continuar fisicamente lá (e acessivéis com algum jeitinho...).

Se, e é um se muito afastado, a WF implementasse mecanismos melhores em termos de controle (como MAC check) era viável. Mas não infalível. O MAC pode ser spoofed, os ips mudados, o raio maior.

A solução de VLAN é 100% funcional, pq o switch cria um circuito virtual. Ele sabe que port x,y,z são o circuito n e a,b,c são o circuito m. É como se realmente fosse redes separadas, mas a "separação" é feita virtualmente no switch.

A solução de routers NAT cheappo em cascade é separação fisica. As redes são efectivamente separadas. De um certo ponto de vista até é melhor, mas é Quick'n'Dirty.

Quem tem um Ferrari, o minimo que pode fazer e sabe-lo conduzir, senao mais vale comprar um mini.

A ser assim comprava uma solução da Cisco ou uma Sidewinder... Não deixem de ser fanboys não... Btw, ainda não me explicaste como é que a ISA fazia a separação fisica (real ou virtual) das subredes. É que sem isso, ainda se encontram todos no switch.
 
Eu instalei o sygate firewall e la tenho uma coisita dq da para blokear os ips dos outros pc q nao kero q acedem! apesar de nao estar ainda 100% funcional ( porque os pc q eu kero q liguem-se estao todos blokeados ) sei que consigo blokear os outros.... se blokeo os que n kero os outros com certeza tb estarao blokeados....

agora a minha duvida reside noutra situaçao! a repecçao tem q estar tb ligado a estes pc mas no entanto la tem uma gama de rede diferente ( 192.168.64.3 ) enquanto os outros pc têm 10.0.0.34 por exemplo!!! sera q mesmo assim consigo colocar em rede o computador da recepçao com os computadores do gabinete 1?
 
Uma outra solução que talvez vale-se a pena ser estudada:

Separas as redes; diferentes gamas para cada gabinete.

Instalas um servidor linux, com uma NIC para cada rede e uma extra para Internet.

Usas o PPPOE para ligações ADSL ou simples DHCP para Cabo e tornas o teu linux num Router.

Para o caso de não queres configurar as iptables todas á unha, instalas, por exemplo, a Shorewall (que usa as iptables)

Aqui vai um exemplo (muito simplificado) da configuração:

eth0 ou ppp0 - Ligação Internet
eth1 - Gabinete1
eth2 - Gabinete2

Defines 3 zonas no ficheiro "interfaces" de configuração da shorewall:

Net eth0 ou ppp0
gab1 eth1
gab2 eth2


Depois, no ficheiro "policy":

gab1 net ACCEPT
gab1 gab2 ACCEPT

gab2 net ACCEPT
gab2 gab1 REJECT


Vantagens:

- Não gastas-te um chavo em compra de software.
- O PC para instalar o linux, até pode ser um pentium/amd 300mhz ou 400mhz se for necessário. De certeza que arranjar um pc que não estaja a ser utilizado.
- Ficas com a possibilidade de expansão do sistema e de criares regras de firewall bem mais complexas, definires regras especificas por ip ou conjunto deles. (no ficheiro de configuração "rules")
Um exemplo muito simples: um ip pode aceder ao site da sapo e outro não. Mesmo que a gama de ip's seja a mesma.


Desvantagens:

- Podes no máximo, ter que comprar um switch para cada rede (caso não tenhas).
- Podes ter que comprar uma ou duas NIC's para o servidor linux.


Esta solução é muito baixa em custo e tem uma funcionalidade e fiabilidade enorme.



PS: Na verdade, nem sequer precisavas de diferenciar as redes IP com a minha solução, embora eu o sugira. Sempre poupavas a compra de um switch ou mais uma placa de rede (isto para o caso de ter orçamento apertado). No caso de optares por esta solução, poderia-te explicar como farias isso. O importante, é que ficou a idea.
É apenas mais uma, a juntar a todas as que já foram referidas.
 
sim mas isso iria implicar a q eu tivesse acesso ao servidor :) coisa q nao tenho !!! e alem disso tinha q ir mudar tudo e os outros gabinetes sao afectados e como sao empresas diferentes nao posso simplesmente invadir a privacidade deles
mas de facto é uma boa opçao!!!

vou ver se o sygate ira trabalhar bem!!! o meu problema agora é mesmo ver o da recepcçao
 
sim mas isso iria implicar a q eu tivesse acesso ao servidor :) coisa q nao tenho !!! e alem disso tinha q ir mudar tudo e os outros gabinetes sao afectados e como sao empresas diferentes nao posso simplesmente invadir a privacidade deles
mas de facto é uma boa opçao!!!

vou ver se o sygate ira trabalhar bem!!! o meu problema agora é mesmo ver o da recepcçao

:D Que grande confusao... o pessoal esmerou-se com sugestoes do mais barato ao mais profissional e agora explicas que a unica coisa que tu pretendes fazer é bloquear o accesso dos tais ips ao teu computador, e que pelos vistos nem és o administrador de rede. :D
Confesso que tambem tinha percebido a questao doutra maneira.

Bem, nesse caso resta-te instalar uma firewall local e bloquear/permitir a comunicacao com os ips em questao.
 
Back
Topo