У меня небольшая сеть, и я хочу изолировать один из компьютеров от всей сети.
Моя сеть:
<----> Trusted PC 1
ADSL Router --> Netgear dg834g <----> Trusted PC 2
<----> Untrusted PC
Я хочу изолировать этот ненадежный компьютер в сети.
Это означает, что сеть должна быть защищена от: * отравления ARP * сниффинга * ненадежного ПК не должен видеть / достигать других компьютеров в сети, но может выходить из Интернета.
Я могу включить IPSec между компьютерами, но настоящая проблема заключается в перехвате трафика между маршрутизатором и одним из доверенных компьютеров.
Чтобы не получить новый IP-адрес (второй IP-адрес с того же компьютера), мне нужен брандмауэр с безопасностью порта (я думаю), или я не думаю, что мой ADSL-маршрутизатор поддерживает это.
Подводя итог, я ищу аппаратный брандмауэр / маршрутизатор, который может изолировать один порт от остальной сети. Могли бы вы порекомендовать такое оборудование, или я могу легко сделать это с моей текущей сетью?
Решение 1. Спрячьте ненадежный компьютер под другим маршрутизатором. Это решит проблему arp-spoofing / mitm.
Решение 2. Используйте любой маршрутизатор с Прошивка DD-WRT. Там вы можете настроить разные беспроводные локальные сети и даже поместить их в разные VLAN. Жаль, что модемы ADSL им не поддерживаются.
Брандмауэр либо с несколькими физическими интерфейсами (минимум 3), либо с поддержкой виртуального интерфейса (VLAN) решит эту проблему за вас. Я думаю, Linksys продает маршрутизаторы SBS VPN, которые могут сделать это дешево.
Я не могу специально рекомендовать устройство, но ситуация, которую вы описываете, называется DMZ и часто используется для исключения серверов из других частей сети или самих сетей (например, Интернета).
Если вас это действительно беспокоит, получите отдельную учетную запись DSL для этого компьютера.
В противном случае вы можете купить маршрутизатор DD-WRT Linksys на ebay за 80 долларов или около того и настроить vlan.
Мое любимое решение ... Шлюз безопасности Astaro - бесплатно для некоммерческого использования - загрузите программное обеспечение и установите его на старый компьютер с парой дополнительных сетевых адаптеров - используйте маршрутизатор в качестве точки доступа.
-- NIC #2 - router - TRUSTED PCs
DSL Modem -- NIC #1 - PC running ASG -
-- NIC #3 - UNTRUSTED PC
Также на сайте Netgear показано, что устройство В вашем списке есть возможности "открытого хоста (DMZ)". Не уверен, означает ли это, что «незащищенный» компьютер изолирован от остальной сети, хотя в руководстве это должно быть ясно.
В качестве альтернативы можно разместить НЕДОВЕРЯЕМЫЕ ПК за вторым маршрутизатором как SaveTheRbtz предлагает. Это защитит надежный компьютер трафик с ненадежного компьютера, но не защищает доверенные компьютеры от атак со скомпрометированного ненадежного компьютера.
-- Router 2 -- Untrusted PC
DSL Modem -- Router 1 -
-- Trusted PCs
РЕДАКТИРОВАТЬ: поместите ненадежный компьютер за маршрутизатор. Это решает исходный вопрос, связанный с тем, что ненадежный компьютер видит трафик доверенного компьютера.
- извинения перед SaveTheRbtz
Ищите поддержку VLAN, она должна быть у всего, что выше обычного потребительского уровня. Мы делаем это на нашем Draytek 3300 и на нашем коммутаторе Cisco Catalyst 3548.
Если вы хотите полностью прекратить доступ для этой машины, вы можете использовать фильтрацию Mac.
Я должен согласиться с Адамом, вам нужна DMZ. Если не открывать какие-либо порты из Интернета в DMZ, к нему нельзя будет получить доступ из Интернета, но он все равно должен иметь доступ в Интернет.
Я предлагаю вам забыть об этом с маршрутизаторами и коммутаторами и установить надлежащий брандмауэр, и я настоятельно рекомендую Гладкостенный.
супер дешевое решение - установить небольшой коммутатор для рабочей группы за 10 долларов после модема, но перед маршрутизатором. Затем используйте маршрутизатор для отправки на доверенные компьютеры. это, если вы хотите иметь ненадежный компьютер в Интернете. маршрутизатор, который вы используете, должен быть заблокирован, чтобы его не могли обнаружить даже «доверенные» компьютеры. это нюхает? конечно. это вероятно? на самом деле, нет. У cisco есть пара потрясающих коммутаторов с Vlan ect ... за 100 долларов на Ebay, у них также есть порты POE, если у вас есть точки беспроводного доступа или IP-камеры безопасности.