web-dev-qa-db-ja.com

ネットワーク内のコンピューターを分離する

小さなネットワークがあり、ネットワーク全体から1台のコンピューターを分離したいと考えています。

私のネットワーク:

                               <----> Trusted PC 1
ADSL Router --> Netgear dg834g <----> Trusted PC 2
                               <----> Untrusted PC

この信頼できないPCをネットワーク内で隔離したいと思います。

つまり、ネットワークは次のことに対して安全である必要があります。* ARPポイズニング*スニッフィング*信頼できないPCは、ネットワーク内の他のコンピューターを認識/到達してはなりませんが、インターネットに接続できます。

  • 静的DHCPとスイッチの使用により、スニッフィング/ ARPポイズニングの問題が解決されます。

  • コンピューター間でIPSecを有効にすることはできますが、実際の問題は、ルーターと信頼できるコンピューターの1つとの間のトラフィックをスニッフィングすることです。

  • 新しいIPアドレス(同じコンピューターから2番目のIPアドレス)を取得することに対して、ポートセキュリティを備えたファイアウォールが必要です(私は思います)、または私のADSLルーターがそれをサポートしていないと思います。

要約すると、1つのポートを残りのネットワークから分離できるハードウェアファイアウォール/ルーターを探しています。そのようなハードウェアをお勧めしますか、それとも現在のネットワークで簡単に実現できますか?

networkingsecurityfirewallrouter
2
Karma Soone

解決策1:信頼できないPCを別のルーターの下に隠します。これにより、arp-spoofing/mitmの問題が解決されます。

解決策2: DD-WRTファームウェア のルーターを使用します。そこで、さまざまな無線LANをセットアップし、それらをさまざまなVLANに配置することもできます。 ADSLモデムがサポートされていないのは残念です。

9
SaveTheRbtz

複数の物理インターフェイス(少なくとも3つ)または仮想インターフェイス(VLAN)をサポートするファイアウォールがこれを解決します。 Linksysはこれを安くできるSBSVPNルーターを販売していると思います。

3
pauska

特にデバイスをお勧めすることはできませんが、あなたが説明している状況は [〜#〜] dmz [〜#〜] と呼ばれ、ネットワークの他の部分からサーバーを除外するためによく使用されますまたは他のネットワーク自体(インターネットなど)。

2
Adam Gibbins

私のお気に入りのソリューション... Astaro Security Gateway -非営利目的で無料-ソフトウェアをダウンロードして、NICが2つ追加された古いPCに配置します-ルーターをアクセスポイントとして使用します。

                                     -- NIC #2 - router - TRUSTED PCs
DSL Modem -- NIC #1 - PC running ASG - 
                                     -- NIC #3 - UNTRUSTED PC

また、Netgearサイトには、リストした device に「公開ホスト(DMZ)」機能があることが示されています。それが「露出した」コンピュータがネットワークの他の部分から隔離されていることを意味するかどうかはわかりませんが、マニュアルではそれを明確にする必要があります。

または、 SaveTheRbtz が示すように、信頼できないPCを2番目のルーターの後ろに置きます。これにより、信頼できるPCtrafficが信頼できないPCから保護されますが、信頼できるPCが侵害された信頼できないPCからの攻撃から保護されることはありません。

                      -- Router 2 -- Untrusted PC
DSL Modem -- Router 1 - 
                      -- Trusted PCs

編集:信頼できないPCをルーターの後ろに置きます。これは、信頼できるPCトラフィックを見る信頼できないPCに関する元の質問の懸念に対処します。
-SaveTheRbtzへのお詫び

1
tomjedrz

本当に心配な場合は、そのコンピューター用に別のDSLアカウントを取得してください。

それ以外の場合は、eBayでDD-WRT Linksysルーターを80ドル程度で購入し、VLANを設定できます。

1
Adam Brand

非常に安価な解決策は、モデムの後、ルーターの前に10.00ドルの小さなワークグループスイッチを配置することです。次に、ルーターを使用して、信頼できるPCに送信します。それはあなたがインターネット上で信頼できないPCを持ちたいならです。使用するルーターはロックダウンされ、「信頼できる」コンピューターでも検出されないようにする必要があります。嗅ぐことができますか?承知しました。それはありそうですか?あんまり。シスコには、VLAN ectを備えた素晴らしいスイッチがいくつかあります... Ebayで$ 100.00で、ワイヤレスアクセスポイントまたはIPセキュリティカメラがある場合は、POEポートもあります。

0
Jon

PfSense ALIXボードでは、 Netgate から約$ 200USD。強力(500MHz proc、256MB RAM)、サイレント、パッシブ冷却、非常に低い消費電力(〜5ワット平均)、3つのNIC(個別のVLANをセットアップできる)、および優れたコミュニティサポート。

0
gravyface

VLANサポートを探してください。通常のコンシューマーグレードのものを超えるものはすべてサポートされているはずです。これは、Draytek3300とCiscoCatalyst3548スイッチで行います。

0
Dentrasi

そのマシンへのアクセスを完全に停止したい場合は、macフィルタリングを使用できます。

0
MathewC

アダムに同意する必要があります。DMZが必要です。インターネットからDMZへのポートを開かないことにより、インターネットからアクセスすることはできませんが、インターネットにアクセスできるはずです。

ルーターやスイッチでこれを行うことを忘れて、適切なファイアウォールをインストールすることをお勧めします。 Smoothwall を強くお勧めします。

0
John Gardeniers