[GTER] RES: ARP Poisoning / Mesmos IPs na rede

[Rubens Kuhl]

> Discordo que isso seja "erro grosseiro" do datacenter ou "mau-serviço
> prestado", pois eu já vi esse tipo de prática em vários datacenters.
>
> É necessário analisar se há um desalinhamento sobre QUAL PRODUTO está sendo
> comprado.
>
> Eu lembro que a .comDominio oferecia a venda de um produto chamado SPOT cuja
> descrição era "1 IP público de uma rede compartilhada configurado em Vlan
> compartilhada" e a ALOG herdou este produto
>
> O datacenter erra se não deixar isso claro. E evidentemente o cliente pode
> querer algo diferente ou não.

Pina,

Eu discordo da sua discordância... ao oferecer um IP público, mesmo
que em VLAN compartilhada, é necessário que hajam controles para que
esse IP seja do cliente e não "roubável" por outro, que poderia fazer
ataques e imputar a culpa a esse cliente, por exemplo.

O que a VLAN compartilhada poderia ter de risco aceitável é que as
máquinas ali instaladas pudessem se conectar entre elas sem nenhum
tipo de regramento; assim, mesmo um produto desse tipo precisaria de
entradas ARP estáticas no roteador do datacenter (ou equivalentes),
uma sugestão ao cliente de configuração estática de ARP do default
gateway, e controles de segurança L2 para que os endereços MAC não
sejam spoofados.

A solução usual para um ambiente assim nem permite tráfego entre as
máquinas (exceto por proxy-arp), que é usar Private VLAN. Não resolve
todo o problema, mas já bloqueia por exemplo tentativas de take-over
do endereço de gateway. Os demais controles de MAC e ARP associados a
Private VLAN tem como resultado final um ambiente com um bom nível de
segurança.


Rubens