Jako przykład mam 3 komputery w sieci domowej: Maszyna A Maszyna B Maszyna C
Chciałbym odizolować „Maszynę C”, aby nie mogła komunikować się z „A” lub „B” i odwrotnie. Powinien to być całkowicie odrębny byt.
Powiedzmy, że używam Linksys E4200. Czy istnieje dobry sposób na skonfigurowanie powyższego scenariusza z domyślnym oprogramowaniem układowym? Czy jest to możliwe przy niestandardowym oprogramowaniu, takim jak DD-WRT lub Tomato? Nie mam z tym doświadczenia, ale nie mam problemu z nauką.
Rozumiem, że można to zrobić, umieszczając „Maszynę C” w strefie DMZ. Niestety, powiedziano mi, że wiele routerów domowych nie ma domyślnie bezpiecznego sposobu konfiguracji DMZ. Rozwiązanie dwóch routerów może działać, ale nadal wymaga ograniczenia dostępu administracyjnego z „komputera C” i dodaje dodatkowy potencjalny punkt awarii.
EDYTOWAĆ:
Z dźwięku rzeczy, aby mieć właściwe reguły zapory, potrzebuję dodatkowego routera.
źródło
ufw
help.ubuntu.com/community/UFW . Wykorzystujeiptables
i jest bardzo konfigurowalny. en.wikipedia.org/wiki/IptablesOdpowiedzi:
Musisz umieścić komputer C we własnym zakresie sieci. Jest to najlepszy sposób na odizolowanie urządzenia i ochronę innych komputerów, które żyją we własnym zakresie IP. Jedynym problemem jest to, że może być potrzebny dodatkowy router z portem DHCP i WAN lub przełącznik obsługujący NAT. Prawdopodobnie ręczna konfiguracja PC C również będzie działać. Zasadniczo tworzenie dwóch sieci.
Twoja główna sieć (domyślnie po wyjęciu z pudełka)
Twoja chroniona sieć (poprawiona)
podręcznik
W instrukcji E4200 na stronie 9 znajduje się sekcja o zaawansowanym routingu. Może to być rozwiązanie lub metoda, która pomoże ci stworzyć osobne sieci. Idealnie, nowsze routery oferują sieci wirtualne, a takie rzeczy pomagają w lepszym zarządzaniu.
Alternatywy
To jest postęp - ale jest to jeden z preferowanych dla wszystkich dobrych administratorów!
Możesz zastąpić obecny router zaawansowanym routerem lub komputerem zgodnym z pfSense . Może (i powinien) całkowicie zastąpić router od twojego usługodawcy internetowego. Musisz spojrzeć na listę kompatybilności i wybrać router, który ci się podoba. Wymaga zainstalowania na nim pfsense, którym jest FreeBSD. Informacje mówią, że może być używany jako zapora ogniowa i router. Router jest tym, czym jesteś zainteresowany. Ale robi o wiele więcej!
Możesz zainstalować serwery proxy, kałamarnice, ograniczanie przepustowości, dns itp. PfSense pozwala na utworzenie jak największej liczby sieci i możesz skonfigurować je tak, jak chcesz!
Korzystanie z zapór ogniowych na komputerach nie stanowi rozwiązania problemu. Mogę dać ci fałszywe poczucie bezpieczeństwa, ale zapory ogniowe mają na celu ochronę połączeń przychodzących do danego komputera. Blokowanie standardowych portów spowoduje nieoczekiwane długoterminowe komplikacje dla rzeczy, które zostały zaprojektowane, aby ułatwić życie!
- Edycja dodana po zaakceptowaniu odpowiedzi.
Niektóre odniesienia zewnętrzne, w których 2 sysdaminy na Techsnap 101 zgadzają się, że zapory ogniowe nie są odpowiedzią na ochronę komputera przed sobą. Przewiń do bitu końcowego. Jak również odizolować maszynę od sieci za pomocą sieci VLAN, NIC lub tras dla bardzo dokładnego pytania, które tutaj zadałeś
źródło
Pierwszą rzeczą, jaka przyszła mi do głowy, jest zapora ogniowa.
Możesz utworzyć reguły zapory na komputerze C, które nie zezwalają na żadne połączenia TCP z 192.168.xx lub z innej (lub jakiejkolwiek lokalnej sieci LAN są skonfigurowane do używania), ale zezwalają na inne połączenia wychodzące. Musisz jednak zezwolić na połączenia z routerem. Oczywiście musisz mieć możliwość zablokowania tej konfiguracji, aby nikt nie mógł zmienić reguł zapory.
W takim przypadku możesz również zmienić zapory na komputerach A i B, aby nie inicjować / odbierać również pakietów z maszyny C.
Nie jestem dobry w sztuce ASCII, ale możesz także wybrać inny router. Zadzwoń do bieżącego routera R1, a Twoja sieć to 192.168.1.x. Podnieś R2, zrób z niego klienta R1, a sam komputer C klientem R2 z siecią 192.168.2.x. (Maszyny A i B są nadal na R1, 192.168.1.x). Graj z zaporą na R2, pozwalając 192.168.2.1, ale odrzucając cokolwiek innego 192.168.xx To powinno kosztować około 50 USD lub więcej, a także trochę czasu. Zasadniczo tworzysz własną strefę DMZ. Maszyna C ma teraz podwójną translację NAT, co może być dobre lub złe, w zależności od tego, co robi. Jeśli jest to serwer, musisz teraz zezwolić na połączenia z Internetu za pośrednictwem R1 i R2. Zapory ogniowe na komputerze A i B byłyby ustawione na 192.168.2.x. Nadal możesz zaporę Komputer C, ale nadal masz zaporę sprzętową na R2, jeśli zostanie ona naruszona.
BTW: Wymiana oprogramowania układowego w E4200 może być dobra z innych powodów. Niektóre wersje oprogramowania pozwoliły Cisco „zarządzać” w chmurze. Ponadto nie jestem pewien, czy można wyłączyć WPS (który został uszkodzony) za pomocą oprogramowania sprzętowego. Jeśli to zrobisz, czy możesz skomentować i dać mi znać, jak to działa? Mój wujek ma aparat E4200, który zamierzałem przeładować w nieskończonym wolnym czasie.
źródło