Broadcast sendo usado por host

flaviong
(usa CentOS)

Enviado em 26/11/2010 - 12:22h

Tenho alguns casos em minha rede de pessoas que configuram manualmente suas propriedades de rede utilizando, sem conhecimento, o endereço de broadcast de uma de minhas redes.

1) tenho como bloquear esse tipo de coisa?

2) qual o impacto que isso acarreta em minha rede? Perda de pacotes, colisão?...

Desde já agradeço qualquer ajuda.

Flávio N Gouveia

vmmello
(usa Slackware)

Enviado em 27/11/2010 - 16:12h

Olá Flávio,

Tem como bloquear. O endereço IP de broadcast deve ser usado apenas como destino de pacotes, não como origem. Supondo que você use um script de iptables como firewall, pode usar regras do tipo:

iptables -A INPUT -i INTERFACE_INTERNA -s IP_DE_BROADCAST -j DROP

iptables -A FORWARD -i INTERFACE_INTERNA -s IP_DE_BROADCAST -j DROP

(substituindo INTERFACE_INTERNA pela interface da rede interna e IP_DE_BROADCAST pelo endereço de broadcast)

Uma forma de detectar quando as pessoas fazem isso, é o usar o arpwatch (http://ee.lbl.gov/) pra detectar quando a associação MAC-IP de uma máquina mudar.

O impacto que poderia acontecer na rede (pelo fato de máquinas usarem o IP de broadcast) é que alguns sistemas operacionais não fariam a resolução arp e usariam o endereço ff:ff:ff:ff:ff:ff como destino, de forma que esse tráfego fosse repetido em todas as portas do segmento de rede, sobrecarregando o(s) switch(s).

tlaloc
(usa Gentoo)

Enviado em 27/11/2010 - 16:19h

Não não não...

tem que ver isso aí.

Broadcast só como destino, tá maluco?
Broadcast é mais usado como fonte de pacotes do que como destino!

Pra quê o broadcast é usado? Para disseminar pacotes na rede com destino a TODOS os ativos da rede.

A única coisa ruim de alguém usar seu IP de broadcast é que os pacotes que esta máquina enviar cairão para a rede inteira.
Um vídeo poderia sobrecarregar um switch fraco.

O que você pode fazer é largar a mão de ser frouxo e subir um DNS nessa poióca aí.
Também seria ideal mudar a configuração de todos para DHCP e proibir os usuários se utilizando de policies para que ninguém altere as configurações de rede.

Sinceramente? Meteu os bedelhos onde não devia, é duas advertências e demissão por justa causa.

vmmello
(usa Slackware)

Enviado em 27/11/2010 - 20:51h

> Broadcast só como destino, tá maluco?
> Broadcast é mais usado como fonte de pacotes
> do que como destino!

O que eu disse:

"O endereço IP de broadcast deve ser usado apenas como destino de pacotes, não como origem."

O *ENDEREÇO IP*. Por exemplo, a rede 192.168.1.0/24 tem o IP de broadcast 192.168.1.255.

Qualquer host que queira enviar alguma coisa para broadcast, cria um pacote usando o seu IP como *origem* e o IP broadcast como *destino*. Nenhuma máquina deve criar pacotes com o IP de *origem* igual ao broadcast. Por isso:

"O endereço IP de broadcast deve ser usado apenas como destino de pacotes, não como origem."

tlaloc
(usa Gentoo)

Enviado em 27/11/2010 - 22:36h

E o IP de broadcast devolve o pacote para toda a rede, sendo então ele a fonte deste pacote.
Ele quem "berra mais alto" na rede.
Logo, criar uma regra para proibir os hosts de enviar coisas como broadcast ou redirecionar pacotes na rede criaria MUITOS problemas.

Tente fazer isso em um ambiente com Windows Server, com um DNS e um AD mal configurado para você ver o quão lenta a rede vai ficar.
Depois dê um netstat e um nbtstat para ver quantas "resoluções por difusão" terá na rede. :P

Não se manda matar o pato sem conhecer o dono do bicho.
Utilizar estas regras para solucionar problemas são de um mal desnecessário para a rede.
Deve-se tirar a bola das crianças e mandar todas para dentro de casa, ao invés de não deixar elas brincarem fora da sala de estar (até a hora que a bola acertar a vidraça)...

flaviong
(usa CentOS)

Enviado em 29/11/2010 - 09:27h

Então, já tinha pensado em "matar o pato" usando a mesma expressão, DROP, e não o fiz pois achei melhor estudar um outra solução menos dramática.
Quanto a política de segurança na empresa, ainda são muito, para não falar nada, eficazes. Cada usuário faz o que bem entende sem qualquer punição. To aqui para tentar minimizar o impacto dessa "bagunça".
Quanto ao uso do AD, não obrigado, vou com meu CentOS, apesar de ainda encontrar algumas dificuldades quanto a bloqueio de recursos nas estações de trabalho.

Grato a ambos pela discução.

tlaloc
(usa Gentoo)

Enviado em 29/11/2010 - 10:26h

Flavio, você pode criar um AD no Linux. (Y)
Desta forma, seria possível controlar as estações de trabalho, em questão de recursos disponíveis.

Fórum é pra isso mesmo, discutir e chegar ao melhor limiar de opiniões e conhecimento possíveis.

flaviong
(usa CentOS)

Enviado em 29/11/2010 - 10:41h

tlaloc

AD no linux? Agora fiquei perdido. Vc tá falando de virtualização e instalação de um AD mesmo, implicando em licenças,ou pensando em um OpenLDAP?