Notícia publicada por brain em outubro 8, 2003 08:03 PM
| TrackBack
O Gustavo Sverzut (gustavo@linuxdicas.com.br) mandou o link para a tradução do artigo do Linux Journal que indiquei no início desta semana. Ele relata: "Este artigo tem por objetivo ensinar você a economizar uma placa de rede, seja por dinheiro, espaço (PCI/ISA) ou qualquer outro motivo, anime-se, pois é muito fácil compartilhar internet usando somente uma placa de rede! Esta técnica foi testada com um HUB."
Gustavo, muito boa iniciativa. E Augusto, valeu por publicar. Muita gente já me perguntou sobre isso (nat com uma placa só).
Quais são as implicações dessa abordagem, em termos de segurança, ao invés da "tradicional" que utiliza duas placas?
Salve !
Gustavo parabens mesmo e ao Augusto publicar esse otimo artigo.
att
Que problemas de segurança implicaria essa implementação??? Mesmo com a configuração correta de um firewall para esse modelo através de restrições por IP e não por interface poderiamos ter quais tipos de problemas???
Varios problemas.. O principal deles, é que as redes não vão estar fisicamente separadas.. (AVISO: Isso é teoria, e é muito dificil de acontecer na pratica) Algum pacote pode entrar pelo modem adsl, com o endereço forjado, e ele não passará pelo firewall, mas sim irá direto para o computador alvo. Também seria possivel rodar um sniffer no modem adsl (isso é teoria..) e capturar todos os pacotes que rodam na rede local que deveria ser "segura" pelo firewall.. Algum pc da rede interna também poderia trocar seu ip para um ip que o modem adsl reconheça, e burlar o firewall.. São muitas as inseguranças..
O artigo original, fala sobre a adsl em modo pppoe que é imune a algumas dessas vulnereabilidades, mas ainda sim, usar esse esquema em uma rede em produção, é loucura (no meu ponto de vista..)
Essa configuração pode permitir algumas brincadeiras:
- Transmitir pacotes das máquinas internas diretamente ao modem e consequentemente para internet.
- Ou ainda derrubar o Firewall/NAT/Linux se utilizando de alguma vulnerabilidade conhecida, assumir os IPs dele e transformar uma estação interna no novo NAT da rede.
- Se consiguir instalar um backdoor em alguma estação interna, então pode-se de fora fazer os dois itens acima. Depois disso é festa ;)
Como disse no post acima, isso na teoria, na prática é outra historia. Evidentemente na rede de sua casa você não precisa ter essa preocupação. Porem imagino que ninguem é louco de fazer essa implementação numa rede comercial.
Caros,
Obrigado pelos elogios!
Aos que querem saber sobre a segurança, dizem existir possibilidade de insegurança, pois eu não acredito... ou ao menos acho improvável de ser conseguido. Eu explico:
Todos os pacotes tem que passar pelo modem para entrar na rede, certo? Na rede interna você usará os IPs resevados à rede interna (192..., 10...). Ao enviar um pacote forjado para a máquina, provavelmente ele se perderia nos roteadores, que tentariam manter o pacote numa rede interna, pois os ips tem este designio. O mesmo para sair do modem.
Como na computação nada é impossível :) pode existir a possibilidade, porém não acredito que alguém realize esta proeza!
Vou perguntar para alguns professores sobre isso, posto uma resposta mais concreta depois.
Gustavo
QUERO SABER COMO CONECTAR INTERNET ATRAVES DE UMA REDE LOCAL , CONECTANDO COM O SERVIDOR PRINCIPAL
DESDE JA AGRADEÇO ,OBRIGADO
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.