2 лана на одном коммутаторе безопасно?
У меня модем с 5 портами. Каждый порт получает статический IP-адрес из Интернета. Обычно, если я проверяю один из этих статических IP-адресов из дома, я проверяю непосредственно один из этих портов.
На первом порту находится маршрутизатор / брандмауэр нашей компании, за которым следует коммутатор, и вся компания получает доступ в Интернет через один и тот же общедоступный IP-адрес.
Что произойдет, если id подключит второй порт модема напрямую к коммутатору?
Я ожидаю, что ничего не произойдет, поскольку у него другая подсеть, и с одной рабочей станции можно было бы обойти сервер, просто изменив настройки сетевого адаптера.
Я прав в этом? Это безопасно или вызовет бреши в безопасности?
Что мне нужно заархивировать, так это то, что некоторые компьютеры должны иметь возможность обходить брандмауэр в некоторых ситуациях.
Спасибо!
Ваша диаграмма очень поможет в прояснении этого вопроса.
Что ты делаешь нормально если и только если ваш большой коммутатор управляем, и вы можете настроить виртуальные локальные сети для принудительного отделения трафика внешнего межсетевого экрана маршрутизатора от трафика межсетевого экрана внутри маршрутизатора.
Когда внутреннему компьютеру необходимо временно перейти во внешнюю локальную сеть, вы можете изменить настройки его адаптера. и скажите коммутатору, чтобы он вынул свой порт из внутренней VLAN и добавил его во внешний.
В противном случае это просто вопрос времени, когда кто-то внутри заметит, что он может дать себе псевдоним интерфейса во внешней сети и полностью обойти брандмауэр, или кто-то, кто скомпрометировал один из внешних ящиков, заметит, что если они дадут себе псевдоним во внутренней сети, они обошли ваш брандмауэр, и ваша корпоративная локальная сеть в их распоряжении.
Если вы делаете это, чтобы сознательно обойти это разделение, вы принимаете огромный риск.
редактировать: что, черт возьми, заставляет вас думать, что компьютер может находиться только в одной из двух локальных сетей одновременно, если коммутатор не обеспечивает такое разделение? Предположим, что я злоумышленник, и я перехватил одну из машин, в настоящее время подключенных к модему (который сам по себе является коммутатором). Назовем эту машину ALF.
Теперь я даю ALF псевдоним интерфейса с соответствующим адресом для внутренней сети (существование и адресацию которого я могу легко определить, просмотрев широковещательные передачи ARP на сетевом адаптере ALF в беспорядочном режиме). Теперь я могу напрямую PING - и, следовательно, атаковать - сервер, при этом межсетевой экран никогда не видит мой трафик.
Я скажу это еще раз, чтобы было ясно: если вы обойдете свой брандмауэр с помощью кабеля, ведущего к главному коммутатору, и не примете никаких мер, чтобы трафик по этому кабелю был удален от вашей основной сети, вы мертвы.
Вы не получаете IP-адреса из Интернета.
Если вы подключите два DHCP-сервера к одному коммутатору, все может начать вести себя неожиданным образом. Есть несколько способов обойти это, но они подвержены ошибкам, так почему бы не использовать более безопасный подход и не подключить этот компьютер напрямую к желаемому порту коммутатора, минуя коммутатор?
Существуют и другие решения, но они требуют либо управляемого коммутатора, либо некоторого контроля над ответами DHCP, отправляемыми интернет-провайдером:
- Фильтрация пакетов DHCP на коммутаторе
- Настройте DHCP-серверы так, чтобы они отвечали только на определенные MAC-адреса.
- Отключите DHCP-сервер, передающий ответы модему, и используйте статические IP-адреса на компьютере, с которым вы хотите общаться напрямую через модем.
- Использовать VLAN