วิธีที่ดีที่สุดในการ จำกัด การเข้าถึงเครือข่ายสำหรับหนึ่งเครื่องบน LAN ภายในบ้านคืออะไร


4

ตัวอย่างเช่นฉันมีคอมพิวเตอร์ 3 เครื่องบนเครือข่ายในบ้าน: Machine A Machine B Machine C

สิ่งที่ฉันต้องการจะทำคือแยก "Machine C" เพื่อที่จะไม่สามารถสื่อสารกับ "A" หรือ "B" และในทางกลับกัน มันควรจะเป็นนิติบุคคลที่แยกจากกันอย่างสิ้นเชิง

สมมติว่าฉันใช้ Linksys E4200 มีวิธีที่ดีในการกำหนดค่าสถานการณ์จำลองข้างต้นด้วยเฟิร์มแวร์เริ่มต้นหรือไม่ เป็นไปได้กับเฟิร์มแวร์ที่ไม่ใช่ค่าเริ่มต้นเช่น DD-WRT หรือ Tomato หรือไม่? ฉันไม่มีประสบการณ์ แต่ก็ไม่มีปัญหาในการเรียนรู้

ความเข้าใจของฉันคือสิ่งนี้สามารถทำได้โดยการวาง "Machine C" ใน DMZ น่าเสียดายที่มีคนบอกว่าเราเตอร์ภายในบ้านจำนวนมากไม่มีวิธีที่ปลอดภัยในการตั้งค่า DMZ เป็นค่าเริ่มต้น โซลูชันเราเตอร์สองตัวสามารถทำงานได้ แต่ยังคงต้องการการ จำกัด การเข้าถึงของผู้ดูแลระบบจาก "Machine C" และเพิ่มจุดที่อาจเกิดความล้มเหลวเพิ่มเติม

แก้ไข:

จากเสียงของสิ่งต่าง ๆ เพื่อให้มีกฎไฟร์วอลล์ที่เหมาะสมฉันต้องมีเราเตอร์เพิ่มเติม


1
ระบบปฏิบัติการประเภทใดที่เครื่อง C กำลังทำงานอยู่?
Rich Homolka

1
ฉันไม่รังเกียจหาก Machine C ถูกโจมตีฉันยอมรับความเสี่ยงนั้น เจตนาคือเพื่อให้แน่ใจว่าเครื่อง A และเครื่อง B ได้รับการปกป้องจากเครื่องที่ถูกบุกรุก C ตามคำตอบอื่น ๆ ฉันคิดว่ากฎไฟร์วอลล์อาจเป็นวิธีที่จะไปและฉันจะตรวจสอบเครือข่ายย่อยสำหรับเราเตอร์ของฉัน
rakemanyohneth

1
@rakemanyohneth ใช่คุณมีเราเตอร์อีกตัวที่เป็นไฟร์วอลล์สร้างกระเป๋าระหว่างไฟร์วอลล์สองตัวเรียกว่า DMZ
Rich Homolka

1
ใช่. การตั้งค่าเครือข่ายระดับมืออาชีพมากกว่านั้นมักจะมีคอมพิวเตอร์แยกต่างหากที่ทำหน้าที่เป็นเราเตอร์และไฟร์วอลล์ มันเชื่อมต่อกับหลายเครือข่ายและควบคุมการรับส่งข้อมูลระหว่างกัน DMZ อาจมี LAN ที่สองเชื่อมต่อกับไฟร์วอลล์ (สำหรับเครือข่ายทั้งหมด 3 เครือข่าย: LAN สองแห่งและ WAN) หรือไฟร์วอลล์สองแห่ง (หนึ่งระหว่าง WAN และ DMZ หนึ่งเครือข่ายระหว่าง DMZ และ LAN)
cpast

1
หากคุณยินดีที่จะตั้งค่าคอมพิวเตอร์เครื่องอื่นคุณสามารถวาง Ubuntu ufw buildoutไว้ที่นั่นด้วย NIC สองตัวในนั้นและใช้help.ubuntu.com/community/UFW มันใช้iptablesและสามารถปรับแต่งได้มาก en.wikipedia.org/wiki/Iptables
kmort

คำตอบ:


2

คุณต้องวางเครื่อง C ไว้ในช่วงเครือข่ายของตนเอง เป็นวิธีที่ดีที่สุดในการแยกเครื่องและปกป้องเครื่องอื่น ๆ ของคุณที่อยู่ในช่วง IP ของตนเอง ปัญหาเดียวคือคุณอาจต้องใช้เราเตอร์เพิ่มเติมที่มีพอร์ต DHCP และ WAN หรือสวิตช์ที่รองรับ NAT การกำหนดค่า PC C ด้วยตนเองอาจเป็นไปได้เช่นกัน เป็นหลักสร้างสองเครือข่าย

ป้อนคำอธิบายรูปภาพที่นี่

เครือข่ายหลักของคุณ(เริ่มต้นออกจากกล่อง)

  • WAN IP: Pulbic IP จาก ISP
  • IP LAN: 192.168.0.254 (เราเตอร์ IP)
  • DHCP: 192.168.0.254 (192.168.0.y - 192.168.0.z)
  • GATEWAY: 192.168.0.254

เครือข่ายที่มีการป้องกันของคุณ(tweaked)

  • WAN IP - 192.168 0 .x (จาก DHCP เราเตอร์ที่สอง)
  • IP LAN - 192.168 1 .254
  • DHCP: 192.168 1 .254 (192.168. 1 .y - 192.168. 1 .z) (สำหรับเครือข่ายที่ 2)
  • ประตู: 192.168 0 .254 (เส้นทางสู่อินเทอร์เน็ตเท่านั้น)

คู่มือ

ในคู่มือ E4200ของคุณในหน้า 9 มีส่วนเกี่ยวกับการกำหนดเส้นทางขั้นสูง นี่อาจเป็นโซลูชันหรือวิธีการที่จะช่วยคุณสร้างเครือข่ายแยก ตามหลักการแล้วเราเตอร์ที่ใหม่กว่านำเสนอเครือข่ายเสมือนจริงและสิ่งอื่น ๆ เช่นที่ช่วยให้คุณจัดการสิ่งนี้ได้ดีขึ้น

ทางเลือก

นี่คือล่วงหน้า - แต่เป็นหนึ่งในรายการที่ต้องการสำหรับ sysadmins ที่ดีทั้งหมด!

คุณสามารถแทนที่เราเตอร์ปัจจุบันของคุณด้วยเราเตอร์หรือพีซีที่รองรับpfSenseขั้นสูง มันสามารถ (และควร) แทนที่เราเตอร์จาก ISP ของคุณได้อย่างสมบูรณ์ คุณต้องดูรายการความเข้ากันได้และเลือกเราเตอร์ที่คุณชอบ มันต้องการให้คุณติดตั้ง pfsense ที่เป็น FreeBSD ข้อมูลบอกว่ามันใช้เป็นไฟร์วอลล์และเราเตอร์ เราเตอร์คือสิ่งที่คุณสนใจ แต่มันก็มีประโยชน์มากกว่านี้!

คุณสามารถติดตั้งพร็อกซี่, ปลาหมึก, การควบคุมปริมาณ, DNS และอื่น ๆ pfSense ช่วยให้คุณสร้างเครือข่ายได้มากและคุณสามารถกำหนดค่าได้ตามที่คุณต้องการ!

ป้อนคำอธิบายรูปภาพที่นี่


การใช้ไฟร์วอลล์บนคอมพิวเตอร์ด้วยตนเองนั้นไม่ใช่วิธีแก้ไขปัญหา ฉันจะให้ความรู้สึกผิดกับความปลอดภัย แต่ไฟร์วอลล์ถูกออกแบบมาเพื่อปกป้องการเชื่อมต่อขาเข้ากับคอมพิวเตอร์ที่กำหนด การบล็อกพอร์ตมาตรฐานจะทำให้เกิดความยุ่งยากในระยะยาวสำหรับสิ่งที่ออกแบบมาเพื่อให้ชีวิตง่ายขึ้น!


- แก้ไขเพิ่มหลังจากคำตอบที่ยอมรับ

บางแหล่งอ้างอิงภายนอกที่2 sysdamins ใน Techsnap 101ยอมรับว่าไฟร์วอลล์ไม่ใช่คำตอบในการปกป้องคอมพิวเตอร์จากกันและกัน กรอไปข้างหน้าไปยังจุดสิ้นสุด วิธีแยกเครื่องจากเครือข่ายโดยใช้ VLAN, NIC หรือ Routes สำหรับคำถามที่คุณถามที่นี่


สิ่งนี้จะไม่ทำงานเว้นแต่คุณจะปรับกฎการกำหนดเส้นทางด้วยตนเองบนพีซี พีซีต้องทราบวิธีเข้าถึงเกตเวย์และสิ่งเดียวที่รู้วิธีเข้าถึงโดยค่าเริ่มต้นคือเครื่องในเครือข่ายย่อย
cpast

1
ใช่ฉันบอกว่า - เขาอาจต้องการสวิตช์หรือเราเตอร์อื่น ตอนนี้คุณกำลังมีเจตนาร้าย นี่คือมาตรฐานอุตสาหกรรมสำหรับการแยกคอมพิวเตอร์บนเครือข่าย การพยายามหาวิธีการแฮ็กที่ใช้ในครัวเรือนเป็นวิธีที่ไม่ดีนัก
Piotr Kula

มาตรฐานอุตสาหกรรมคือการใช้ไฟร์วอลล์เฉพาะหนึ่งหรือสอง ไม่ใช่แค่เปลี่ยนช่วง IP ด้วยเราเตอร์ที่สอง(สวิตช์จะไม่ทำงาน) สิ่งนี้จะใช้งานได้ แต่คุณต้องกำหนดค่าไฟร์วอลล์ของเราเตอร์นั้นเพื่อให้ C อยู่นอกเครือข่ายมาตรฐานของคุณได้ หากคุณไม่มีไฟร์วอลล์ระหว่าง C และ A / B พวกเขาจะไม่แยกออกจากกัน
cpast

2
ดูเหมือนว่าเพื่อให้แน่ใจว่าการแยกที่ปลอดภัยฉันต้องการเราเตอร์เพิ่มเติมในระหว่างสองเครือข่าย
rakemanyohneth

1
สวัสดี ppumkin สำหรับแผนภาพด้านบนจะมีการตั้งค่าการกำหนดค่าเพื่ออนุญาตการรับส่งข้อมูลจากเราเตอร์ที่สองถึงที่หนึ่ง แต่ไม่อนุญาตหากปลายทางเป็นเครื่อง A หรือเครื่อง B แก้ไข - ข้อเสนอแนะ pf จาก cpast และ ppumpkin เป็นสิ่งที่ควรค่าแก่การพิจารณาขอบคุณ!
rakemanyohneth

2

สิ่งแรกที่ฉันนึกถึงก็คือไฟร์วอลล์

คุณสามารถสร้างกฎไฟร์วอลล์บนเครื่อง C ที่ไม่อนุญาตการเชื่อมต่อ TCP ไปยังหรือจาก 192.168.xx (หรือสิ่งที่ LAN ท้องถิ่นของคุณมีการกำหนดค่าให้ใช้) แต่อนุญาตการเชื่อมต่อขาออกอื่น ๆ คุณจะต้องอนุญาตการเชื่อมต่อกับเราเตอร์ของคุณโดยเฉพาะ แน่นอนคุณจะต้องสามารถล็อคการกำหนดค่านี้เพื่อให้ไม่มีใครสามารถเปลี่ยนกฎไฟร์วอลล์

ในกรณีนี้คุณสามารถเปลี่ยนไฟร์วอลล์บนเครื่อง A และ B เพื่อไม่ให้เริ่ม / รับแพ็กเก็ตใด ๆ จากเครื่อง C เช่นกัน

ฉันไม่เก่งเรื่อง ASCII แต่คุณสามารถเลือกเราเตอร์อื่นได้เช่นกัน โทรหาเราเตอร์ปัจจุบันของคุณ R1 และเครือข่ายของคุณคือ 192.168.1.x เลือก R2 ทำให้เป็นไคลเอนต์ของ R1 และเครื่อง C เป็นไคลเอ็นต์ของ R2 ด้วยตัวเองด้วยเครือข่าย 192.168.2.x (เครื่องจักร A และ B ยังคงอยู่ใน R1, 192.168.1.x) เล่นกับไฟร์วอลล์บน R2 อนุญาตให้ 192.168.2.1 แต่ปฏิเสธสิ่งอื่น 192.168.xx ค่านี้ควรมีราคาประมาณ USD $ 50 หรือมากกว่านั้นและบางครั้ง คุณสร้าง DMZ ของคุณเองเป็นหลัก Machine C เป็น Double-NATted ซึ่งอาจจะดีหรือไม่ดีขึ้นอยู่กับสิ่งที่กำลังทำ หากเป็นเซิร์ฟเวอร์คุณต้องอนุญาตการเชื่อมต่อจากอินเทอร์เน็ตผ่าน R1 และ R2 ไฟร์วอลล์บนเครื่อง A และ B จะถูกตั้งค่าเป็น 192.168.2.x คุณยังสามารถไฟร์วอลล์เครื่อง C แต่คุณยังคงมีไฟร์วอลล์ฮาร์ดแวร์บน R2 หากได้รับอันตราย

BTW:การเปลี่ยนเฟิร์มแวร์หุ้นใน E4200 อาจดีด้วยเหตุผลอื่น เฟิร์มแวร์บางรุ่นอนุญาตให้ซิสโก้ "คลาวด์จัดการ" ได้ นอกจากนี้ฉันไม่แน่ใจว่าคุณสามารถปิด WPS (ซึ่งเสีย) ผ่านเฟิร์มแวร์หุ้นได้หรือไม่ หากคุณทำสิ่งนี้คุณสามารถแสดงความคิดเห็นและแจ้งให้เราทราบว่ามันทำงานอย่างไร ลุงของฉันมี E4200 ฉันกำลังจะฟันเฟืองในเวลาว่างที่ไม่มีที่สิ้นสุดของฉัน


นั่นเป็นหนึ่งในข้อกังวลหลักของฉันฉันต้องสามารถ จำกัด Machine C ที่ถูกบุกรุกไม่ให้เปลี่ยนกฎนั้น
rakemanyohneth

กฎไฟร์วอลล์จะเป็นวิธีที่ดีที่สุดในการจัดการกับสิ่งนี้
MDT Guy

ฉันไม่แน่ใจว่า E4200 ของฉันอนุญาตให้สร้างเครือข่ายย่อยต่าง ๆ หรือไม่และฉันไม่ได้อยู่ที่บ้านในขณะนี้ดังนั้นฉันจึงไม่สามารถตรวจสอบได้ แต่คุณคิดว่าการมี Machine C ในเครือข่ายย่อยแยกต่างหากและการมีกฎไฟร์วอลล์ Machine C จะเป็นเดสก์ท็อปพีซีดังนั้นเราไม่ต้องกังวลกับการกำหนดค่ากฎใหม่อีกครั้งขอบคุณ
rakemanyohneth

หาก Machine C ถูกโจมตีไม่ได้กฎไฟร์วอลล์ทั้งหมดในเครื่อง C มีความเสี่ยงใช่หรือไม่ ฉันไม่เห็นวิธีที่คุณสามารถใช้คุณสมบัติความปลอดภัยในเครื่องที่ถูกบุกรุก
cpast

-1 ไฟร์วอลล์ถูกใช้เพื่อบล็อกการเข้าถึงโดยไม่ได้รับอนุญาต ไม่แยกเครื่อง!
Piotr Kula
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.