Ir ao conteúdo
  • Cadastre-se

Dois roteadores e duas redes. Como compartilhar a internet e isolar os computadores de cada roteador?


Posts recomendados

Tenho dois roteadores, e gostaria de deixar os computadores de cada roteador isolado, onde o objetivo é que cada roteador forneça apenas acesso a internet ao computadores.

 

Então, eu tenho o roteador 1 e 2. Peguei o cabo de rede do roteador 1 e liguei na porta WAN do roteador 2. Mas fazendo teste de ping, uma máquina do roteador 2 pingou  um dispositivo conectado ao roteador 1.

 

A faixa de ips são diferentes: o roteador 1 está com  10.0.0.0 e o 2 tem 192.168.0.0.

 

O que tenho que fazer para que os computadores do roteador 2 não enxerguem os computadores do roteador 1?  

Link para o comentário
Compartilhar em outros sites

Quando você diz que não quer que os computadores conectados no roteador 2 enxerguem os computadores conectados ao roteador 1 , você quer dizer que nem o ping consiga se propagar de um para o outro? Ou seja , você quer 2 redes totalmente isoladas uma da outra que não conseguem se comunicar diretamente ou indiretamente , porém as 2 com acesso externo a internet , usando o mesmo IP do provedor de internet?

 

Não entendi muito bem o que você quer fazer , porque se você quer 2 sub redes dentro da sua rede , você pode usar mascaras de sub rede para controlar QoS e acessos , mas não sei se é isso que você quer. 

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

Quando você diz que não quer que os computadores conectados no roteador 2 enxerguem os computadores conectados ao roteador 1 , você quer dizer que nem o ping consiga se propagar de um para o outro? Ou seja , você quer 2 redes totalmente isoladas uma da outra que não conseguem se comunicar diretamente ou indiretamente , porém as 2 com acesso externo a internet , usando o mesmo IP do provedor de internet?

 

 

Isso mesmo. Tenho acesso a internet e gostaria de disponibilizar apenas acesso externo a internet aos dois roteadores, mas de forma que os computadores de cada roteador não consigam se comunicar. Quais configurações devo fazer para conseguir isso?

Link para o comentário
Compartilhar em outros sites

@OpaioX achei que sua configuração estivesse correta para fazer o que quer...  :huh:

 

Acho que o fato de conseguir um ping, não quer dizer que há acesso (conversa) entre as redes, mas sim que é por onde a internet "flui", entende ? 

 

Não sei o termo técnico pra isso, mas o ping - acredito - seja justamente o ponto "x" para conseguir passar a net!  :rolleyes:

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

Olá @Mlramos

 

É uma dúvida que   muito grande que tenho a respeito disso,  pois se consegue pingar, há comunicação entre as máquinas... pelo menos eu o que eu achava. Logo, queria que não houvesse comunicação, para por exemplo, proteger os computadores do roteador um (que são todos computadores confiáveis da rede) possível  ataque arp spoofing vindo dos computadores não confiáveis do roteador dois (que não são computadores confiáveis) para evitar um possível sniffer de rede ou outros tipos de ataques.

 

Penso que um ataque direto, uma invasão mesmo, seja muito pouco provável às máquinas do roteador um, mas farejar os dados, nesse cenário, penso que seja possível.

 

Seria possível fazer  isso? Onde o roteador 2 pega internet do roteador 1, mas sem haver comunicação entre os computadores dos dois roteadores?

 

 

oh! quantas dúvidas rsrsrsr dúvidas e mais dúvidas...  :D

Link para o comentário
Compartilhar em outros sites

Hum, tantas dúvidas... sei o que quer dizer...  ^_^

 

Há alguns roteadores, por exemplo, que oferecem um recurso de "client isolation".

 

Vou espiar qual desses mais próximos (casa, trabalho, reservas, etc) possui este recurso e verificar se nem o ping funciona... pra efeito de teste pelo menos  B)

 

Mas vou demorar para responder aqui...   (_(

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

 @Mlramos , muito obrigado por tentar me ajudar!

 

Você conhece o aplicativo para Android Fing? Ele mostra tudo que está conectado ao roteador... e isso me deixa cismado. Ele mostra o MAC, o nome do dispositivo ou do computador... esse programa é um verdadeiro dedo duro! rsrsrsr e tenho medo que esse ou outro programa, se usado por alguém no roteador 2 (onde estarão os pcs ou dispositivos não confiáveis), possa indicar os dispositivos conectado no roteador 1 (roteador onde estão os computadores confiáveis da rede). Apesar que, quando estou no roteador 1 ou 2, pela wireless, ele mostra todos os dispositivos ligado ao roteador, mas eu não consegui ver os dispositivos do outro roteador, ou seja, só vejo os dispositivos conectados ao roteador em que me encontro ligado.

 

Em teste simples que fiz,consegui acessar do roteador 2,  um servidor web (inclusive montado numa máquina virtual, pegando ip do roteador mesmo, com a placa da VM em modo bridge), que estava hospedado em um  pc conectado ao roteador 1. Logo, quem estiver no roteador 2  acessa quem está no roteador 1 ou vice-versa, apesar que o contrário não seja o problema. 

 

Assim, mesmo que o programa FING não mostrou pra mim, ao estar conectado com um dispositivo android no roteador 2, os dispositivos conectados no roteador 1, eu fico cismado, já que há comunicação provada pelo teste do servidor web. No meu entendimento, poderia haver um ataque ARP Spoofing para capturar os dados que trafegam pela rede do roteador 1.

 

Pessoal, este raciocínio está correto? Em segurança de redes isso poderia acontecer? Como eu poderia proteger o roteador 1 de um sniffer de rede de possíveis atacantes conectado ao roteador 2?

 

 

 

Editei para colocar o link do dedo-duro do Fing rsrsrs

  • Curtir 2
Link para o comentário
Compartilhar em outros sites

:eek:

 

@OpaioX você é o cara mais cismado com segurança que acompanho no CDH...  :lol:

 

Infelizmente você que está correto em cismar tanto...  :mellow:

 

Bom, não conhecia o Fing. Mas estou relutando em instalar para conhecê-lo... aqui sou eu que tenho um pé atrás dos apps que instalo no molecular... rsrs

 

Mas questiono o seguinte: tenho que estar conectado à rede pra fazer tudo isso certo?

 

Ainda vou fazer aquele teste, mas durante a semana é meio corrido...  (_(

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

  • Membro VIP

Depende dos roteadores utilizados, mas em parte usando a porta WAN, os clientes do roteador 2 ficam "isolados" do roteador 1 porque o sistema de roteamento geralmente descarta pacotes do tipo LAN - Que no caso seriam os prejudiciais.

 

O correto, seria no roteador 1 possui recurso de VLAN. Com dd-wrt e Tomato é possível você separar as redes. Assim, todos os computadores de derivarem daquela porta LAN podem se conectar apenas nos computadores daquela rede. (Se adicionar um switch ou AP, por exemplo). Compartilhariam a internet, mas não é possível voltar porque o roteador bloqueia o acesso.

 

Com o Gargoyle deve ser possível, mas me baseando nas versões mais antigas, tinha que ser feito manualmente porque não tinha GUI para configurar isto.

 

Este procedimento de VLAN é o mesmo que alguns roteadores wireless permitem fazer com múltiplos SSIDs, você cria redes wireless virtuais (VLAN). Assim, você consegue compartilhar a internet via wireless sem se preocupar com alguém vasculhando seus computadores da rede pessoal.

  • Curtir 2
Link para o comentário
Compartilhar em outros sites

....

 

Este procedimento de VLAN é o mesmo que alguns roteadores wireless permitem fazer com múltiplos SSIDs, você cria redes wireless virtuais (VLAN). Assim, você consegue compartilhar a internet via wireless sem se preocupar com alguém vasculhando seus computadores da rede pessoal.

 

@dwatashi, Pois é ... ainda não fiz o teste...  :blush:

 

Mas enfim, esse esquema que alguns roteadores tem com múltiplos SSIDs já separa cada uma delas, certo ? No sentido de isolar... mas isso não quer dizer que irá deixar de pingar umas nas outras ? Imagino que é o mesmo princípio do "Client Isolation" que alguns roteadores também têm... não ?

 

:confused:

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

  • Membro VIP

Pois é ... ainda não fiz o teste...  :blush:

 

Mas enfim, esse esquema que alguns roteadores tem com múltiplos SSIDs já separa cada uma delas, certo ? No sentido de isolar... mas isso não quer dizer que irá deixar de pingar umas nas outras ? Imagino que é o mesmo princípio do "Client Isolation" que alguns roteadores também têm... não ?

 

:confused:

 

Varia com o equipamento. Alguns limitam o ping inclusive.

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

Ola  @Mlramos @dwatashi

 

Com um Intelbras WRN 240 que possui esse recurso de múltiplos SSID, fiz alguns testes de pings e, realmente, se eu não estiver no mesmo SSID não ocorre o ping. Não tive tempo para testar algum servidor web ou FTP. Mas existe outra forma de testar que não seja abrindo estes servidores? Essas são as únicas forma que vem na minha cabeça que possam sugerir que há comunicação entre os computadores.

 

Dwatashi, aqui há comunicação dos PCs do roteador 2 com os PCs do roteador 1 como mostra a figura abaixo no cenário 2. Então neste caso não há este descarte de pacotes na porta LAN. 

 

Fazendo outros testes ( Cenário 1), liguei aqui o roteador 2 direto no modem, que também é roteador e, em nenhum teste, não  consegui pingar nenhuma máquina/dispositivo do roteador 1.

 

Então seria mais seguro eu ligar os roteador 2 e 1 no modem (modem/ roteador) ao invés  do roteador 2 no roteador 1?

 

MR1.png

 

Será que no cenário 1  um sniffer de rede vindo do roteador 2 (PCs não confiáveis) consegue capturar o que passa no roteador 1 (PCs  confiáveis)? 

 

 

Dwatashi, no cenário 2, configurando a faixa de IPs e máscaras de rede nos roteadores, não é possível fazer esse isolamento? Ou este isolamento só existe se os roteadores permitirem isso nas configurações do painel de controle como você mesmo disso sobre VLANs? Eu achava que mexendo no IPs e mascara seria possível...

 

obrigado pela ajuda  @Mlramos  e @dwatashi

  • Curtir 2
Link para o comentário
Compartilhar em outros sites

  • Membro VIP

1. Se for um serviço local, por exemplo uma pasta compartilhada, o sistema de VLAN separa as redes seguramente. Agora, se você tiver um FTP e ele estiver com portas redirecionadas no roteador para acesso externo, ele consegue obter acesso mas não via rede LAN, mas WAN.

 

Ex: Você tem um FTP em 192.168.1.1:8080 e redireciona para acesso em minharede.net:8080, separados pela VLAN não conseguem acesso via 192.168.1.1, mas sim pela minharede.net

 

2. Dos cenários, no 1 existe uma pequena vantagem se você utilizar a porta WAN em ambos. A dificuldade fica apenas que o modem é que trabalharia com as conexões e nem todos os modens trabalham bem com isto. Ao menos quando se quer "redirecionar" portas, pode dar um certo trabalho. No 2, uma tentativa que pode ser feita é a seguinte, você atribui manualmente um IP no roteador 2 com uma máscara limitada para apenas o IP do gateway (roteador 1), assim ele em parte deveria ter acesso apenas ao gateway por causa da máscara, para aumentar a segurança você mantém o esquema de diferentes endereços. No caso, se o gateway é 10.1.1.1, você atribui manualmente o IP no roteador 2 - 10.1.1.2 e máscara 255.255.255.254. 

 

Definitivamente via VLAN é mais fácil e mais seguro, mas pode-se tentar para incrementar a segurança.

 

 

 

 

  • Curtir 2
Link para o comentário
Compartilhar em outros sites

@OpaioX você me deixou curioso... o e tal aplicativo Android Fing? Você testou em ambas as configurações? Quais os resultados...  :)

 

@dwatashi no item 2, você menciona a vantagem se utilizar a porta WAN para ambos os roteadores... Mas dae é sacanagem, né ?! Teria que colocar um hub ai no meio ?  :D

 

Outra coisa @OpaioX ... Depois disso tudo concluo que nem é mais necessário o teste com o "Client Isolation" ?  :blush:

 

rsrs

Link para o comentário
Compartilhar em outros sites

@dwatashi Desculpe, mas acabei me confundindo... Quando li da primeira vez também achei que os routers estavam nas portas LAN, concordo!

 

Mas na imagem do cenário 1, conclui que as ligações derivavam diretamente para os roteadores, logo o modem pode ser do tipo que possua mais de uma porta LAN, assim não seria necessário o switch.

 

No cenário 2, não é necessário o switch.

 

Mas você citou assim:

 

...

 

2. Dos cenários, no 1 existe uma pequena vantagem se você utilizar a porta WAN em ambos. 

...

 

 

Então como - no cenário 1 - eu colocaria ambos em WAN ? Com um hub... certo ?  :blush:

 

Pois normalmente, os modems tem apenas 1 porta WAN, ou tô comendo bola ?  :confused:

Link para o comentário
Compartilhar em outros sites

  • Membro VIP

 

Então como - no cenário 1 - eu colocaria ambos em WAN ? Com um hub... certo ?  :blush:

 

Pois normalmente, os modems tem apenas 1 porta WAN, ou tô comendo bola ?  :confused:

 

Modems geralmente tem uma porta WAN mesmo, por exemplo se for modem DSL, esta é a interface WAN, mas pode ter mais de uma porta LAN. Mas para reduzir esta confusão basta lembrar que WAN é sempre a que traz o acesso externo (Internet geralmente). Assim no modem a WAN pode ser o DSL, Cable, Fibra e depois dele saem LAN. No roteador como você deseja "rotear" a WAN recebe a internet, que poderia vir de uma porta LAN do modem. Hehehe.

 

Resumindo, o que me referi, seria conectar ambos os roteadores utilizando a porta WAN deles. (LAN modem - WAN Roteador)

 

Um exemplo de modem DSL que possui mais de uma LAN, Encore ENDSL-A2+4R2. Os que são modem+roteador wireless integrados geralmente possuem mais de uma porta LAN.

 

E sim, se seu modem tem apenas uma porta LAN, teria que usar um hub\switch para conectar os roteadores.

  • Curtir 2
Link para o comentário
Compartilhar em outros sites

@OpaioX você me deixou curioso... o e tal aplicativo Android Fing? Você testou em ambas as configurações? Quais os resultados...  :)

 

 

Se você me perguntou sobre teste com o fing nos dois cenários? Nos meus teste ele mostrou apenas os dispositivo conectados no roteador que eu estava conectado. Então, o resultado foi o mesmo em ambos os cenários. Mas fazendo o teste de ping e abrindo servidores em algum PC do roteador 1,  consegui acesso do roteador 2, mas isso no cenário 2 (ou seja houve comunicação dos pcs do roteador 2 com os pcs do roteador 1), que foi a primeira configuração que testei.  Depois que imaginei ligar os roteadores como mostra o cenário 1.

 

Para confirmar: meu modem é um roteador e tem quatro portas lan. Assim, no cenário1 eu peguei dois cabos de rede da porta lan e mandei para a porta Wan dos roteadores.

 

Outra coisa @OpaioX ... Depois disso tudo concluo que nem é mais necessário o teste com o "Client Isolation" ?  :blush:

 

@Mlramos , nos testes anteriores, eu acho que fiz confusão, já que tinha feitos muitos testes... mas hoje eu tirei a prova. Criei um servidor num pc conectado pelo wireless e desabilitei o firewall do computador. Testei com Cliente Isolation habilitado e desabilitado. E agora é certeza absoluta: com a função ativa, não há comunicação nenhuma entre os que estiverem ligado por wireless - nem ping, nem as portas abertas no servidor que cirei e muito menos as portas  apareciam no teste de portscan, apareceram quando o AP isolation estava ativo. Ou seja, mesmo com firewall desabilitado, não mostrou nenhuma porta aberta.

 

Já com Cliente Isolation desativado, apareceu no portscan as portas do servidor abertas, respondeu a ping, e mostrou as portas abertas por padrão no Windows quando o firewall estava desativado.

 

Agora, fazendo o teste no mesmo computador (com firewall desabilitado e com servers abetos), mas ligando o pc  por cabo ao roteador, ao invés do wireless, houve comunicação  de um dispositivo wireless com o computador. Logo, só funciona a isolação se for wireless com wireless. Se você estiver ligado por cabo no roteador, você continua visível! Mas o contrário não tive tempo de testar. Mas parece que a função cumpre o que promete que é isolar os clientes Wireless, pelo menos no roteador TPLINK...rsrsrsrsrrs 

 

@dwatashi muito obrigado mesmo pela paciência e por compartilhar seu conhecimento.

 

1. Se for um serviço local, por exemplo uma pasta compartilhada, o sistema de VLAN separa as redes seguramente. Agora, se você tiver um FTP e ele estiver com portas redirecionadas no roteador para acesso externo, ele consegue obter acesso mas não via rede LAN, mas WAN.

 

 

Por enquanto, essa não é a preocupação, mas talvez no futuro se eu conseguir isolar, ficarei mais tranquilo se precisar criar uma rede interna com esse objetivo.

 

2. Dos cenários, no 1 existe uma pequena vantagem se você utilizar a porta WAN em ambos. A dificuldade fica apenas que o modem é que trabalharia com as conexões e nem todos os modens trabalham bem com isto. Ao menos quando se quer "redirecionar" portas, pode dar um certo trabalho.

 

 

Esse cenário foi o que eu testei depois, e não percebi problemas de navegação na internet. Aparente funciona normal em todos os computadores como no cenário 2 para acessar  a internet. E sim, pego cabo  lan do modem/roteador e mando para wan dos dois roteadores.

 

Mas dessa forma não há  nenhum tipo de comunicação entres os computadores do roteador 1 com o 2. Será porque?

 

Eu queria essa isolação dos pcs dos roteadores diferentes, pensando principalmente em proteger contra sniffer de rede (farejar dados com o Wireshark por exemplo) os computadores do roteador 1 contra possíveis atacantes do roteador 2 (que são os pcs não confiáveis).

 

Esse é meu objetivo maior, pensando nisso, será qual cenário propiciaria isso? Ou ambos estão sujeito a captura de dados não criptografados que trafegam entre roteador 1 e modem/roteador?

 

No 2, uma tentativa que pode ser feita é a seguinte, você atribui manualmente um IP no roteador 2 com uma máscara limitada para apenas o IP do gateway (roteador 1), assim ele em parte deveria ter acesso apenas ao gateway por causa da máscara, para aumentar a segurança você mantém o esquema de diferentes endereços. No caso, se o gateway é 10.1.1.1, você atribui manualmente o IP no roteador 2 - 10.1.1.2 e máscara 255.255.255.254. 

 

 

Tá, essa parte eu acho que vou tentar depois. Já que o esquema da Vlan é mais fácil, vou olhar isso no modem/roteador, já que lá eu vi algo com essas Vlan, mas não mudei nada ainda. Tenho que testar. E de toda forma, vou me sentir mais seguro mesmo só depois que eu tentar capturar pacotes conectando pelo roteador 2.

 

Nossa, você  já me ajudou muito, obrigado dwatashi .

 

 

Vou tentar entender mais sobre essa Vlan no meu modem/roteador, pelo fato de ter algo nesse sentido nele e também pelo fato que no cenário 1 não houve comunicação entre pcs dos roteadores diferentes. 

  • Curtir 2
Link para o comentário
Compartilhar em outros sites

@OpaioX ...

 

 

...

Agora, fazendo o teste no mesmo computador (com firewall desabilitado e com servers abetos), mas ligando o pc  por cabo ao roteador, ao invés do wireless, houve comunicação  de um dispositivo wireless com o computador. Logo, só funciona a isolação se for wireless com wireless. Se você estiver ligado por cabo no roteador, você continua visível! Mas o contrário não tive tempo de testar. Mas parece que a função cumpre o que promete que é isolar os clientes Wireless, pelo menos no roteador TPLINK...rsrsrsrsrrs 

....

 

Sim, só funciona wifi-wifi não tinha pensado em fazer o teste wifi-cabo, tanto que no meu modem Tp-Link TS-W8968 (que tem mais de 1 LAN @dwatashi  :)) possui a função "Client Isolation" disponível em Wireless Advanced...

 

^_^

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

  • Membro VIP
 

Mas dessa forma não há  nenhum tipo de comunicação entres os computadores do roteador 1 com o 2. Será porque?

 

Resumindo o que ocorre é o seguinte, para um roteador existem duas redes a WAN e a LAN. No entanto, é configurado em muitos roteadores que IP Privados utilizados em LAN não sejam procurados na rede WAN. Assim, o roteador procura na rede LAN dele, não acha ele diz que não existe "separando" as redes. Agora, este filtro varia conforme o roteador e firmware, porque com os roteadores de firmware alternativo (Gargoyle, Tomato, Openwrt, etc) você pode criar uma VLAN na WAN para permitir comunicação. (Em parte é o que um VPN faz, mas no VPN a comunicação é criptografada. Você até pode saber que existe uma comunicação, mas não consegue saber quais são os pacotes). Então por este motivo, se você deseja separar apenas usar as WANs dos roteadores é a maneira mais fácil. (Entender se mais fácil, mas não necessariamente a melhor porque como disse a configuração varia de acordo com o firmware basicamente)

 

 

Esse é meu objetivo maior, pensando nisso, será qual cenário propiciaria isso? Ou ambos estão sujeito a captura de dados não criptografados que trafegam entre roteador 1 e modem/roteador?

 

Se você pensa em um cliente estar conectado ao roteador 2 e conseguir ver pacotes trafegados na rede do roteador 1? Usando o cenário 1 é provável que não seja possível ver os pacotes pelo motivo acima. Mas depende do tipo de pacote e principalmente a origem e destino.

 

Por exemplo, se for um pacote de compartilhamento de arquivos LAN vai ser difícil por causa da filtragem padrão adotada pelos roteadores. Mas se for internet, nem tanto. Isto porque para o modem ambos os roteadores estão em sua LAN, então quando ele envia o pacote como ambos estão sobre a mesma rede ambos recebem o aviso, mas apenas o dono é quem fica com o pacote. Então um sniffer pode conseguir ver os pacotes trafegados.

 

Neste caso a parte da máscara IP poderia ajudar, porque como você configuraria uma rede ad-hoc, onde apenas 2 estariam nela - modem (gateway) e roteador 2, logo ele não consegue "ver" pacotes diferentes porque são de outra rede.

  • Curtir 2
Link para o comentário
Compartilhar em outros sites

  • 9 meses depois...

@dwatashi

 

Olá,

 

Vou retomar meu protejo novamente.  Não cheguei a concluir as etapas que você sugeriu, de utilizar Vlans diferentes, e como não havia testado a segurança efetiva da forma como estava antes, achei melhor deixar a rede fechada por motivos de segurança, já que o "pessoal" tá conseguindo pegar mesmo o trafego em HTTPS...e isso é muito perigoso.

 

O modem/roteador technicolor TD 5130 fornecido pela OI Velox pode ser aproveitado  criar Vlans diferentes e utilizá-lo apenas como roteador e separar as redes? Ele não iria funcionar como modem porque eu tenho outro. E o TP-link wr740 N, se eu transformá-lo para Gargoyle, eu consigo separar com segurança então essas redes de forma impedir um sniffer de rede? Eu já transformei um em Gargoyle (está funcionando muito bem aqui e gostei muito das funções que ele tem) e se você me disser que é fácil fazer essas configurações de vlans  pelo Gargoyle, eu tenho outro tp-link aqui prontinho para ser transformado. 

 

Em termos de hardware o que se pode fazer para evitar o ARP Poison? Como proteger do ARP poison? Pelo pouco que vi sobre sniffer de rede, os roteadores hoje, mesmo os comuns, não permitem farejar os dados a não ser que o atacante se passem por outro na rede, certo? Daí entra o ataque ARP para redirecionar o tráfego, certo?   Então se efetivamente eu conseguisse impedir de alguém na rede fazer o ataque ARP poison, eu impediria o sniffer de funcionar? Está certo esse raciocínio? Porque eu, nem mesmo na mesma rede consegui farejar os pacotes com wireshark deixando-o em modo promiscuo (eu li que os roteadores hoje não permitem isso, e que farejar os pacotes só é possivel com os hubs ou swicths burros. E de fato, eu só consigui quando eu passei  todo o trafego por mim, num computador, utilizando duas placas de rede e utilizando da ponte de rede nas configurações do windows 7. Daí eu pego tudo... :devil:  menos o que ta criptografado ehehehehe.

 

Assim, só ter um sniffer como wireshark rodando na rede com um roteador, mesmo em modo promiscuo não permite capturar os pacotes a não ser que você faça o ataque de ARP, certo? Então se eu impeço o ataque ARP eu impeço o sniifer de funcionar ;-)    

 

Qual opção seria mais fácil: criar as Vlans e efetivamenete separar as redes ou evitar o ARP Poison?  :confused:  :confused:  :confused:  :confused:

 

 

Edite também: por curiosidade, qual outro hardware que encontramos no mercado e que faça essa separação de vlans e que não seja muito caro? Será que vale mais a pena transformar um tplink ou comprar um roteador melhor que já tenha essa função? 
Link para o comentário
Compartilhar em outros sites

  • Membro VIP

Pelo que vejo são 2 coisas diferentes.

 

No ARP Poison o invasor tem acesso a rede, logo ele consegue inserir um falso host com intuito de receber o tráfego da rede e depois encaminhar novamente o pacote para que ele chegue ao seu destino.

 

Já no VLAN você separa as redes, nenhum tráfego além daquele pertencente a rede passa por ele. Assim, mesmo que tenha um ARP Poison não se consegue acessar dados de outra rede.

 

Agora no wireless você utiliza o mesmo canal para trafegar os dados, a criptografia é que auxilia para ajudar a separar as VLANs quando você cria múltiplas redes no mesmo AP.

 

Então acredito que o VLAN é mais prático, mesmo porque existem equipamentos que fazem isto facilmente.

 

Quanto ao hardware, depende do tráfego... para wireless penso que fazer usando Gargoyle seja um dos meios mais baratos e eficientes. (Assim como os outros firmwares alternativos que o permitem.) Como o tráfego no wireless usa a mesmo meio, muitas redes gera maior tráfego e acaba degradando, logo não tem muito motivo para ter equipamentos mais parrudos. Agora se o tráfego for por cabo Gigabit por exemplo, aí a história muda um pouco.

  • Curtir 1
Link para o comentário
Compartilhar em outros sites


 

 

Ok, então vou tentar pelo gargoyle mesmo. Como e onde é feito  essa configuração de criar mais de uma vlan no painel de controle do Gargoyle de forma que eu separe as redes de dois roteadores impendido a captura de dados? E você sabe se tem como usar o Gargoyle na CPE WA5210g? 

 

Vou usar dessa forma:

topologia2.jpg

 

 Nesse cenário, eu consigo separar a rede do roteador A da rede da CPE? 
Link para o comentário
Compartilhar em outros sites

  • 3 semanas depois...

@dwatashi

 

Olhei no painel de controle do Gargoyle e não achei nada para criar Vlans. Como proceder agora para criar Vlans? Quais roteadores residencias já tem essa função de criar Vlans?

 

 

Editei:

 

Será que é isso aqui estamos falando? http://www.tp-link.com.br/article/?faqid=418 Ou seja o esse modelo tem a opção de criar vlans? Mas eu queria criar uma vlan para mandar por cabo para a CPE. 

 

 

Editei:

 

Com esse é possível criar vlans para mandar por cabo né? http://produto.mercadolivre.com.br/MLB-689150891-switch-gerenciavel-8-portas-gigabit-sfp-tp-link-tl-sl2210web-_JM  existe algum mais barato que esse?

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novas respostas.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...