Jaki jest najlepszy sposób ograniczenia dostępu do sieci dla jednego urządzenia w domowej sieci LAN?

4

Jako przykład mam 3 komputery w sieci domowej: Maszyna A Maszyna B Maszyna C

Chciałbym odizolować „Maszynę C”, aby nie mogła komunikować się z „A” lub „B” i odwrotnie. Powinien to być całkowicie odrębny byt.

Powiedzmy, że używam Linksys E4200. Czy istnieje dobry sposób na skonfigurowanie powyższego scenariusza z domyślnym oprogramowaniem układowym? Czy jest to możliwe przy niestandardowym oprogramowaniu, takim jak DD-WRT lub Tomato? Nie mam z tym doświadczenia, ale nie mam problemu z nauką.

Rozumiem, że można to zrobić, umieszczając „Maszynę C” w strefie DMZ. Niestety, powiedziano mi, że wiele routerów domowych nie ma domyślnie bezpiecznego sposobu konfiguracji DMZ. Rozwiązanie dwóch routerów może działać, ale nadal wymaga ograniczenia dostępu administracyjnego z „komputera C” i dodaje dodatkowy potencjalny punkt awarii.

EDYTOWAĆ:

Z dźwięku rzeczy, aby mieć właściwe reguły zapory, potrzebuję dodatkowego routera.

rakemanyohneth
źródło
1
Jakiego systemu operacyjnego używa maszyna C?
Rich Homolka
1
Nie mam nic przeciwko temu, że maszyna C jest zagrożona, akceptuję to ryzyko. Chodzi o to, aby zapewnić ochronę komputera A i komputera B przed zainfekowaną maszyną C. Zgodnie z drugą odpowiedzią uważam, że właściwym rozwiązaniem mogą być reguły zapory ogniowej i zbadam podsieci mojego routera.
rakemanyohneth
1
@rakemanyohneth tak, masz inny router, który jest zaporą ogniową, tworząc kieszeń między dwoma zaporami ogniowymi, zwaną DMZ.
Rich Homolka
1
Tak. Bardziej profesjonalne konfiguracje sieciowe zwykle zawierają oddzielny komputer pełniący funkcję routera i zapory ogniowej; łączy się z wieloma sieciami i reguluje przepływ ruchu między nimi. Strefą DMZ może być druga sieć LAN podłączona do zapory (w sumie 3 sieci: dwie sieci LAN i WAN) lub dwie zapory ogniowe (jedna między WAN i DMZ, jedna między DMZ i LAN).
cpast
1
Jeśli chcesz skonfigurować inny komputer, możesz upuścić tam kompilację Ubuntu z dwiema kartami sieciowymi i skorzystać z ufw help.ubuntu.com/community/UFW . Wykorzystuje iptablesi jest bardzo konfigurowalny. en.wikipedia.org/wiki/Iptables
kmort

Odpowiedzi:

2

Musisz umieścić komputer C we własnym zakresie sieci. Jest to najlepszy sposób na odizolowanie urządzenia i ochronę innych komputerów, które żyją we własnym zakresie IP. Jedynym problemem jest to, że może być potrzebny dodatkowy router z portem DHCP i WAN lub przełącznik obsługujący NAT. Prawdopodobnie ręczna konfiguracja PC C również będzie działać. Zasadniczo tworzenie dwóch sieci.

wprowadź opis zdjęcia tutaj

Twoja główna sieć (domyślnie po wyjęciu z pudełka)

  • WAN IP: Pulbic IP od ISP
  • IP LAN: 192.168.0.254 (IP routerów)
  • DHCP: 192.168.0.254 (192.168.0.y - 192.168.0.z)
  • BRAMA: 192.168.0.254

Twoja chroniona sieć (poprawiona)

  • WAN IP - 192.168. 0 .x (z drugiego routera DHCP)
  • IP LAN - 192.168. 1 0,254
  • DHCP: 192.168. 1 0,254 (. 192.168 1 .y. - 192.168 jeden .z) (dla sieci 2)
  • BRAMA: 192.168. 0 .254 (tylko trasa do Internetu)

podręcznik

W instrukcji E4200 na stronie 9 znajduje się sekcja o zaawansowanym routingu. Może to być rozwiązanie lub metoda, która pomoże ci stworzyć osobne sieci. Idealnie, nowsze routery oferują sieci wirtualne, a takie rzeczy pomagają w lepszym zarządzaniu.

Alternatywy

To jest postęp - ale jest to jeden z preferowanych dla wszystkich dobrych administratorów!

Możesz zastąpić obecny router zaawansowanym routerem lub komputerem zgodnym z pfSense . Może (i powinien) całkowicie zastąpić router od twojego usługodawcy internetowego. Musisz spojrzeć na listę kompatybilności i wybrać router, który ci się podoba. Wymaga zainstalowania na nim pfsense, którym jest FreeBSD. Informacje mówią, że może być używany jako zapora ogniowa i router. Router jest tym, czym jesteś zainteresowany. Ale robi o wiele więcej!

Możesz zainstalować serwery proxy, kałamarnice, ograniczanie przepustowości, dns itp. PfSense pozwala na utworzenie jak największej liczby sieci i możesz skonfigurować je tak, jak chcesz!

wprowadź opis zdjęcia tutaj


Korzystanie z zapór ogniowych na komputerach nie stanowi rozwiązania problemu. Mogę dać ci fałszywe poczucie bezpieczeństwa, ale zapory ogniowe mają na celu ochronę połączeń przychodzących do danego komputera. Blokowanie standardowych portów spowoduje nieoczekiwane długoterminowe komplikacje dla rzeczy, które zostały zaprojektowane, aby ułatwić życie!


- Edycja dodana po zaakceptowaniu odpowiedzi.

Niektóre odniesienia zewnętrzne, w których 2 sysdaminy na Techsnap 101 zgadzają się, że zapory ogniowe nie są odpowiedzią na ochronę komputera przed sobą. Przewiń do bitu końcowego. Jak również odizolować maszynę od sieci za pomocą sieci VLAN, NIC lub tras dla bardzo dokładnego pytania, które tutaj zadałeś

Piotr Kula
źródło
To nie zadziała, chyba że ręcznie dostosujesz reguły routingu na komputerze. Komputer musi wiedzieć, jak dotrzeć do bramy, a jedyne, co potrafi domyślnie osiągnąć, to komputery w podsieci.
cpast
1
Tak, powiedziałem to - może potrzebować innego przełącznika lub routera. Po prostu jesteś teraz złośliwy. Jest to branżowy standard izolowania komputerów w sieci. Próba zdobycia metod hackish z domowej roboty jest naprawdę złą radą.
Piotr Kula,
Standardem branżowym jest użycie jednej lub dwóch dedykowanych zapór ogniowych. Nie chodzi tylko o zmianę zakresu adresów IP. W przypadku drugiego routera (przełącznik nie będzie działał) działałoby to, ale musisz skonfigurować zaporę ogniową tego routera, aby faktycznie utrzymywał C poza standardową siecią. Jeśli nie masz zapory ogniowej między C i A / B, nie są one izolowane.
cpast
2
Wygląda na to, aby zapewnić bezpieczną izolację, potrzebuję dodatkowego routera między dwiema sieciami.
rakemanyohneth
1
Cześć ppumkin, dla powyższego schematu, czy konfiguracja zostałaby skonfigurowana tak, aby zezwalać na ruch z drugiego routera na pierwszy, ale nie zezwalać na to, jeśli miejscem docelowym była Maszyna A lub Maszyna B? Edycja - Sugestia pf z cpast i ppumpkin jest czymś, na co warto przyjrzeć się, dzięki!
rakemanyohneth
2

Pierwszą rzeczą, jaka przyszła mi do głowy, jest zapora ogniowa.

Możesz utworzyć reguły zapory na komputerze C, które nie zezwalają na żadne połączenia TCP z 192.168.xx lub z innej (lub jakiejkolwiek lokalnej sieci LAN są skonfigurowane do używania), ale zezwalają na inne połączenia wychodzące. Musisz jednak zezwolić na połączenia z routerem. Oczywiście musisz mieć możliwość zablokowania tej konfiguracji, aby nikt nie mógł zmienić reguł zapory.

W takim przypadku możesz również zmienić zapory na komputerach A i B, aby nie inicjować / odbierać również pakietów z maszyny C.

Nie jestem dobry w sztuce ASCII, ale możesz także wybrać inny router. Zadzwoń do bieżącego routera R1, a Twoja sieć to 192.168.1.x. Podnieś R2, zrób z niego klienta R1, a sam komputer C klientem R2 z siecią 192.168.2.x. (Maszyny A i B są nadal na R1, 192.168.1.x). Graj z zaporą na R2, pozwalając 192.168.2.1, ale odrzucając cokolwiek innego 192.168.xx To powinno kosztować około 50 USD lub więcej, a także trochę czasu. Zasadniczo tworzysz własną strefę DMZ. Maszyna C ma teraz podwójną translację NAT, co może być dobre lub złe, w zależności od tego, co robi. Jeśli jest to serwer, musisz teraz zezwolić na połączenia z Internetu za pośrednictwem R1 i R2. Zapory ogniowe na komputerze A i B byłyby ustawione na 192.168.2.x. Nadal możesz zaporę Komputer C, ale nadal masz zaporę sprzętową na R2, jeśli zostanie ona naruszona.

BTW: Wymiana oprogramowania układowego w E4200 może być dobra z innych powodów. Niektóre wersje oprogramowania pozwoliły Cisco „zarządzać” w chmurze. Ponadto nie jestem pewien, czy można wyłączyć WPS (który został uszkodzony) za pomocą oprogramowania sprzętowego. Jeśli to zrobisz, czy możesz skomentować i dać mi znać, jak to działa? Mój wujek ma aparat E4200, który zamierzałem przeładować w nieskończonym wolnym czasie.

Rich Homolka
źródło
To jedna z moich głównych obaw, musiałbym być w stanie ograniczyć zagrożoną Maszynę C przed zmianą tej reguły.
rakemanyohneth
Reguły zapory byłyby najlepszym sposobem na poradzenie sobie z tym.
MDT Guy
Nie jestem pewien, czy mój E4200 pozwala na tworzenie różnych podsieci i nie ma mnie obecnie w domu, więc nie mogę sprawdzić, ale czy uważasz, że posiadanie Maszyny C w oddzielnej podsieci i reguł zapory byłoby wystarczające? Komputer C będzie komputerem stacjonarnym, więc na szczęście nie musimy się martwić o ponowną konfigurację reguł.
rakemanyohneth
W przypadku naruszenia bezpieczeństwa komputera C, czy wszystkie reguły zapory ogniowej na komputerze C nie są zagrożone? Nie rozumiem, w jaki sposób można polegać na funkcji bezpieczeństwa na zaatakowanym komputerze.
cpast
-1 Zapory ogniowe służą do blokowania nieautoryzowanego dostępu. Nie izoluj maszyn!
Piotr Kula,