Multiplos IPs [RESOLVIDO]

1. Multiplos IPs [RESOLVIDO]

marcio68almeida
(usa Debian)

Enviado em 07/01/2009 - 09:46h

Bom dia a todos...
Tenho uma dúvida que pode solucionar um grande problema do meu projeto.
Tenho que instalar uma rede onde as pessoas tem autonomia para administrar suas próprias máquinas.
Minha intenção é compartilhar o acesso à internet, o problema é que a mesma porta de saída para a internet pode servir de entrada de outras pessoas que estejam na mesma rede (infelizmente sempre há pessoas sem carater que tentam invadir o computador do próximo).
Pensei em colocar uma máscara diferente em cada computador, assim ninguém estaria na mesma rede.
Agora vem os problemas :
1. Como fazer que o servidor de acesso consiga receber tamanha gama de máscaras de rede ?
2. Como fazer para monitorar se alguém não anda mudando sua máscara de rede para tentar invadir outro computador ?
3. Se não tenho autonomia para instalar nada nos computadores dos clientes, como restringir para que só entrem na rede para acessar a internet ???

0 0

Quote

2. Re: Multiplos IPs [RESOLVIDO]

megatux
(usa Debian)

Enviado em 07/01/2009 - 10:21h

Amigo, não entendi muito bem esse trecho da pergunta:
"Minha intenção é compartilhar o acesso à internet, o problema é que a mesma porta de saída para a internet pode servir de entrada de outras pessoas que estejam na mesma rede (infelizmente sempre há pessoas sem carater que tentam invadir o computador do próximo)." Porta de Saída ? Porta de Entrada ? Reformule sua pergunta por favor.

Abraços,
MegaTux

0 0

Quote

3. Rede

ventrue.w
(usa Debian)

Enviado em 07/01/2009 - 10:36h

Amigo, tbm nao entendi direito sua pergunta, mas se vc deseja somente que o pessoal tenha acesso a internet sem que acessem as maquinas da rede, voce simplesmente configura um proxy e nao compartilhe arquivos na rede... Ow entao simplesmente faça um script usando iptables para bloquear o acesso na maquina pela rede local.

Valew..

0 0

Quote

4. Re: Multiplos IPs [RESOLVIDO]

marcio68almeida
(usa Debian)

Enviado em 07/01/2009 - 11:01h

Vou tentar ser mais claro...
Vou colocar um servidor que compartilhará o acesso à internet.
Cada pessoa vem com seu notebook e conecta-se à rede (coloca seu cabo no hub ou switch)
A partir do momento que se conectou à rede, você fica vulnerável a pessoasdesqualificadas que tentarão invadir o seu computador (é aí que eu me referi à porta) você entra na rede e fica sujeito ao ataque de mais alguém que esteja na mesma rede.
Se eu der uma máscara diferente para cada um que vai se conectar à rede, diminue a possibilidade de invasão (não resolve, mas diminue, já que o meliante pode ficar trocando sua máscara para procurar outros computadores)
O problema é saber como posso configurar a minha placa de rede para aceitar conecção de inúmeras máscaras diferentes.
Também é necessário rastrear quem está tentando varrer a rede à procura de outros computadores.

0 0

Quote

5. ...

ventrue.w
(usa Debian)

Enviado em 07/01/2009 - 11:29h

Amigo, eu faria da seguinte maneira...
como eu teria duas placas de rede no servidor, uma placa sendo para o modem e outra para rede local com dhcp ativo, instalaria um proxy com sarg para monitoramento de acessos, faria uma regra com o iptables para bloquear tudo INPUT OUTPUT FORWARD e abriria somente a porta da internet para o proxy,

Libera o acesso da rede 192.168.0.0/24 na porta 3128
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT

encaminharia todos os pacotes recebidos nas portas 80 e 8080 na placa de rede local para a porta 3128 do proxy.

Redireciona a porta 80 da placa da rede local para o porta 3128 da placa da inetrnet
iptables -t NAT -A PREROUTING -i eth_local -p tcp --dport 80 -j REDIRECT -i eth_internet --to 3128

O resto ficaria fechado... Sem serviços adicionais rodando...

0 0

Quote

6. Re: Multiplos IPs [RESOLVIDO]

marcio68almeida
(usa Debian)

Enviado em 07/01/2009 - 11:41h

Olá ventrue.w entendi (em parte) o que você colocou, é claro que vou ter que estudar a solução, mas já é um começo...
Mas...
Voltando ao problema, o que impede uma pessoa de ficar "varrendo" a rede a procura de outros computadores ?

0 0

Quote

7. Liberdade

ventrue.w
(usa Debian)

Enviado em 07/01/2009 - 12:00h

Amigo, como a sua rede, é uma rede em que o usuário administra a estação, nada impede que ele tenha em sua maquina um software que faça varreduras, o unico jeito de se controlar tal cenário, seria em uma rede fechada interna onde vc faria cadastros dando permissões de acesso e restringindo instalações de programas e utilização de mídias externas..
Ou vc poderia fazer o cadastro de usuarios em seu servidor, mesmo que as estações fossem pessoais, mas para se acessar a internet a partir da sua empresa, teriam de se logar..
Vc poderia configurar por acl, os que os usuários poderiam ou nao fazer.. Por exemplo um usuário JOAO cadastrado, ao se logar, o sistema iria restringir o uso do CD-ROM por meio de ACL, não é um trabalho facil de se fazer, mas funciona... Vc ainda teria de implementar o que esse usuário poderia utilizar e o que poderia executar.. É um trabalho bem extenso. E ainda assim ficam varias possibilidades que se surgem..

Dificilmente os administradores fazem tudo isso....

A maneira de se proteger quanto a esses ataques, é vc bloquear as porta que nao utiliza e liberar as que tem somente acesso a redes externa a sua, ou somente a uma determinada area... Se vc nao deixar serviços rodando que nao são necessarios ou seja portas abertas, nao tera o que ser rastreado.. a unica que ele achara sera a da internet a qual nao lhe fara mal algum...
Por exemplo se vc tiver um APACHE rodando sem ser utilizado, isso pode se tornar uma arma, se mal configurado, a pessoa mal intencionada pode ter acesso a arquivos de configuração de seu sistema. Se tal serviço nao esta rodando, nao tem como se ter acesso.

Valew

0 0

Quote