3

Добрый день,

Я часто работаю на компьютерах друзей, когда они подозревают вирус или какое-либо другое вредоносное ПО, и мне интересно, как лучше всего подключить их к моей сети, когда мне нужно выйти в сеть. Моя домашняя сеть - это ваш простой кабельный модем, соединяющий маршрутизатор Linksys с рабочим столом. Я хочу подключить эту мошенническую машину к маршрутизатору, чтобы получить доступ к сети, но я, очевидно, не хочу рисковать заражением своей собственной машины.

В прошлом я просто отключал свою машину, когда приходилось подключать мошенническую машину, но это не всегда было удобно.

У меня вопрос: если я подключу два маршрутизатора последовательно - другими словами, повешу отдельный маршрутизатор на моем существующем маршрутизаторе и подключу мошенническую машину к этому маршрутизатору - это удерживает две машины или, может быть, было бы уместно сказать, что две сети достаточно изолированы? Или есть даже лучший способ?

Спасибо!

|источник

3 ответа3

2

Вы хотите создать демилитаризованную зону "DMZ", на которой будет размещен ненадежный хост, и это то, что вы предлагаете, только вы ошиблись порядком.

Cable modem <-- router <-- DMZ <-- router <-- trusted network.

Убедитесь, что вы подключаете посетителя к "внешнему" маршрутизатору, на котором находится ваша машина, то есть порт WAN на маршрутизаторе, который использует ваша домашняя сеть, должен быть подключен к "внутреннему" порту коммутатора на маршрутизаторе, который имеет его порт WAN подключен к кабельному модему.

т. е. ваш внутренний маршрутизатор и посетитель подключаются к маршрутизатору, подключенному к кабелю, а ваш рабочий стол находится на "удаленном" расстоянии от Интернета.

|источник
1

Порт / настройки DMZ на большинстве маршрутизаторов SOHO не изолируют больную машину от хороших. Узел DMZ получит такое же назначение частной сети и, следовательно, будет находиться в том же домене уровня 2, что и другие узлы. Однако наличие второго маршрутизатора предотвратит перекрытие широковещательных доменов. Для дополнительной защиты заблокируйте весь трафик от WAN IP зараженного маршрутизатора на хорошем маршрутизаторе.

|источник
0

Во-первых, ваш обычный кабельный маршрутизатор использует PPPoE через свой порт WAN, а не IP, поэтому сомнительно, что вы могли бы связать два таких маршрутизатора, не покупая специальный маршрутизатор.

Если бы у вас был второй маршрутизатор, вы бы хотели разместить его между вашим рабочим столом и Linksys, чтобы он выполнял роль брандмауэра между небезопасными и безопасными частями сети.

Лучше всего использовать старый компьютер с парой сетевых карт. В идеале 3:

  1. подключен к интернет роутеру
  2. подключен к вашему рабочему столу
  3. подключен к мошенническому компьютеру

Затем вы можете настроить NAT и межсетевой экран в выбранной вами операционной системе, чтобы изолировать две сети. Или вы можете установить предварительно установленный продукт брандмауэра на старый ПК, такой как Smoothwall, IPCop или MonoWall и т.д.

                       +--------+
Desktop -----*s*------>|Nic 2   |
                       |        |
                       |   Nic 1|---------> Linksys
Rogue -------*s*------>|Nic 3   |
                       +--------+

В IPCop, например, интерфейсы будут выделяться как:

  1. RED - ненадежное подключение к интернету
  2. ЗЕЛЕНЫЙ - доверенная внутренняя сеть
  3. СИНИЙ - дополнительная сеть, которая не может получить доступ к ЗЕЛЕНОЙ сети, но может получить доступ к КРАСНОЙ сети.

В зависимости от возможностей вашей сетевой карты, вам может потребоваться использовать перекрестные кабели или вставить коммутаторы в конфигурацию в точках * s * на схеме, чтобы подключить компьютеры к компьютеру с брандмауэром. Если вы используете коммутаторы, убедитесь, что вы используете 2 отдельных коммутатора или один хороший коммутатор, который может изолировать порты в отдельные VLAN, чтобы исключить возможность получения сетями GREEN и BLUE доступа друг к другу.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .