Os perigos da rede LAN sem VLAN

Como um complemento do meu post anterior sobre autenticação via RADIUS, vou abordar um tema bastante corriqueiro em pequenas e médias empresas. Para visualizar meu artigo anterior, Clique aqui.

Visto que mundialmente o padrão Ethernet(IEEE 802.3) é utilizado em vários ambientes: corporativos, residenciais e locais públicos. Esse padrão possui 3 pilares essenciais, meio físico, regras de controle de acesso e o quadro Ethernet.

E por se falar em meio físico que será o tema abordado em nossa análise, as redes cabeadas são geralmente mais seguras do que as redes sem fio, pois necessitam de acesso ao meio físico. Porém não são totalmente seguras principalmente em ambientes onde não ocorrem uma segregação da rede.

Leia mais:

Implementando RADIUS no Windows Server 2016 para autenticação Wifi
Integrando CentOS ao Active Directory
Ativando o Protocolo RDP via Powershell
Segurança de dispositivos: como protegê-los adequadamente?
O risco dos pontos de rede LAN nas recepções dos escritórios

CENÁRIO

Imaginamos o seguinte cenário, sua empresa tem uma recepção ou até mesmo um local para realizar entrevistas e ambos locais possuem pontos de rede para conexões dos visitantes(não colaboradores), ou as vezes na pior das hipóteses seu Wifi(Wireless fidelity) está exposto para usuários além das barreiras da empresa e sem nenhuma segurança.

Chega um visitante para apresentação de um produto, uma pessoa para um entrevista e se conecta na sua rede tanto pelo Wifi como pelo ponto de rede(RJ45), se sua rede não for segregada, ou seja, não tiver uma rede especifica para visitantes, automaticamente esse individuo estará conectado na rede de trabalho da sua empresa, podendo visualizar seus hosts, servidores, impressoras e tudo mais que se conectar naquela rede.

Hipoteticamente falando esse indivíduo tenha um vírus em sua máquina que nem mesmo ele saiba, ao se conectar na rede esse vírus pode se espalhar na sua Lan(Local Area Network), onde começam todos seus problemas, dependendo do vírus: pode roubar dados, abrir backdoors para possíveis outros vírus virem infectar seu ambiente, criar gargalos e loops em sua rede deixando-a mais lenta entre outros.

ALGUMAS SOLUÇÕES

A segmentação/segregação da rede é o melhor caminho a se tomar, visto que sua rede já possui um firewall com as respectivas funções analisarem pacotes de wan lan. Dependendo do tamanho da sua rede e da complexidade de tráfego que ela tem, empresas de médio e grande porte possuem de 2 a mais firewalls para realizar esse controle, sendo um para cada tarefa, análise de borda e local.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Uma maneira bastante utilizada para segmentar a rede do acesso local para o acesso de usuários convidados é realizar a separação da rede dividindo-a em duas: lan(local) e guest(convidado), com isso utiliza-se do protocolo 802.1q(Vlan), o protocolo tem suporte até 4.096 Vlan por domínio de broadcast, com utilização da Vlan os pacotes são taggeds em seu cabeçalho com a demarcação escolhida entre 1 e 4.096 como mostra a figura 1.

A segregação da rede pode começar com um estudo de segmentação IP(Internet Protocol), definindo ranges de IP a serem atribuídos para determinados departamentos, grupos e tipos de tráfego. Para realizar essa segregação usamos a famosa VLAN(Virtual Local Area Network) ou protocolo 802.1q.

Afinal o que é essa VLAN e Protocolo 802.1q?

Nada mais é que você separar sua rede em partes virtuais, como o próprio nome já diz “Virtual Local Area Network”, quando ocorre essa separação são criados domínios de Broadcast distintos para cada Vlan. É como se sua interface física do router ou switch tivessem outras interfaces com cabos saindo do mesmo lugar. Mais o que é broadcast, a grosso modo é quando um interlocutor fala algo para todos dentro de uma mesma sala, todos irão ouvir.

Como segregar minha rede local para uma rede guest?

Vamos explanar algumas configurações tanto para sua rede Wired(cabeada) quanto para Wireless(sem fio).

Utilizando rede sem fio:

Equipamento TP-Link:

Por se tratar de um equipamento mais simples, basta não habilitar a opção de permitir acesso a Lan. Visto que ele efetuou a segregação para rede convidado.

E criar uma rede Wifi convidado, não esquecendo de atribuir senhas de acesso.

Equipamento Unifi:

Foi efetuado a configuração da Vlan 100 diretamente no equipamento, como observado para a rede VISITANTES.

Sendo assim essa rede foi segregada, nesse momento só haverá comunicação entre os hosts conectados diretamente a rede VISITANTES e não mais a rede local.

Utilizando rede cabeada:

Simulando uma Lan Wired – Vendor Cisco

Como pode ser visto a rede foi segregada em duas, sendo a Vlan10(Guest) e Vlan200(Local), apesar de estarem na mesma estrutura, com a criação de Vlan’s a comunicação entre as duas redes fica impossibilitado, pois estão em domínios de broadcast diferentes. Percebam que o Visitante2 não consegue comunicação com o host da Contabilidade e vice-versa, no entanto Contabilidade e Financeiro tem a comunicação e Visitante1 e Visitante2 também tem comunicação.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Simulando uma Lan Wired – Vendor Mikrotik

Como verificado a rede foi separada em duas, sendo Vlan10(Guest) e Vlan20(Local), apesar de estarem na mesma infraestrutura, com a segregação da rede a comunicação Inter-Vlan não acontece, pois cada rede possui seu domínio de broadecast. Como pode-se analisar o host Visitante2 não possui comunicação com o Financeiro e vice-versa, porém entre as redes Financeiro se comunica com Contabilidade e Visitante1 com Visitante2.

Referência: https://www.linkedin.com/pulse/os-perigos-da-rede-lan-sem-vlan-mateus-henrique-tremonte-coimbra/

Assine nosso Newsletter:

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!