Isolieren Sie die Netzwerkkarte des Computers vom Hauptbetriebssystem

433
louis

Ich beginne ein Projekt mit meinem alten Computer und plane, es zu einem kostengünstigen Multifunktionsserver zu machen, aber ich bin neu in den Bereichen Netzwerk, Server, Virtualisierung und Firewall-Antivirus-Antispam-Software.

Die erste Rolle, die es spielen wird, ist ein Gateway zwischen meinem Modem und meinem Router. Ich plane die Verwendung der Untangle Lite-Version als Firewall, Antivirus, Antispam usw., um mein LAN zu schützen und die AV- und AS-Software auf meinen anderen Computern zu entfernen, um die Leistung zu verbessern. Ich habe eine zusätzliche Netzwerkkarte mit zwei (oder mehr) Steckplätzen, wobei ein Steckplatz mit dem Modem und ein weiterer mit dem Router verbunden ist.

Zweitens fungiert er als Backup-Speicherserver und führt regelmäßige Sicherungen vieler Geräte in meinem LAN durch.

Da eine Gateway-Firewall auf einem Standalone-Betriebssystem ausgeführt werden muss (korrigieren Sie mich, wenn ich falsch liege), habe ich überlegt, Untangle mit VMware Player zu virtualisieren, das auf dem Haupt-Betriebssystem des Servers ausgeführt wird und Pakete filtert, die vom Router ankommen und saubere Pakete an das LAN liefern. Der Server ist dann mit dem Router im Netzwerksteckplatz des Motherboards verbunden, getrennt von der Netzwerkkarte, wo die Pakete von der VM gefiltert werden.

Meine Frage ist: Ist es möglich, die Netzwerkkarte der VM zu widmen, um die eingehenden Pakete vom Hauptserver-Betriebssystem und den Serverdaten zu isolieren? Ist es sicher? Gibt es eine bessere Möglichkeit, dies zu tun?

Jede Hilfe, Tipps, Empfehlungen sind willkommen!

Vielen Dank

-1
Gibt es einen Grund, warum Sie nicht vSphere oder XenServer anstelle von VMWare Player verwenden können? lzam vor 9 Jahren 0
Wenn Sie es außerhalb Ihrer Hauptfirewall platzieren möchten, bedeutet dies, dass es nur öffentliche Rollen wie Firewalling, Mail-Hosting, Webhosting, VPN / SSH usw. übernehmen sollte. Server wie diese sind für Angreifer sehr anfällig, daher wird allgemein davon ausgegangen Sie sollten keine internen Dienste unterstützen, die Gegnern eine größere Angriffsfläche bieten. In Ihrem Fall würde ich nachdrücklich empfehlen, dass Sie es nicht für Sicherungszwecke (oder tatsächlich für irgendeinen Speicherplatz) verwenden. Am Ende ist Ihr Speicher das, was Sie am meisten schützen müssen. Frank Thomas vor 9 Jahren 0

1 Antwort auf die Frage

0
Frank Thomas

Nein, es ist nicht möglich, NIC-Hardware direkt an die VM anzuschließen, sodass der Host die Signale überhaupt nicht verarbeitet. Dadurch würden die virtuellen VMWare-Treiber beschädigt, die es dem VM ermöglichen, die Signale zu empfangen und zu decodieren.

Sie müssen sich auf die IP-Konfiguration verlassen, um sicherzustellen, dass Ihre Pakete auf die richtige logische Weise übertragen werden.

Wenn ich verstanden habe, was Sie erklärt haben, konnten Pakete nicht auf die Daten abzielen, die sich auf einem anderen Betriebssystem als der VM befinden, obwohl die Treiber für die NIC-Hardware betroffen sein könnten. louis vor 9 Jahren 0
Ich fürchte, ich verstehe Ihre Behauptung nicht. Da Pakete auf Dienste abzielen, besteht der Schlüssel zur Sicherheit der Netzwerkgrenzen darin, zu verhindern, dass sensible Dienste für nicht autorisierte Benutzer verfügbar sind. Dienste weisen jedoch in der Regel Mängel auf. Um dies zu gewährleisten, ist es unerlässlich, dass nicht autorisierte Kommunikationen den Dienst erreichen. Nur sehr ausgereifte Dienste wie ssh oder apache2 sollten in sicheren Konfigurationen der Öffentlichkeit zugänglich gemacht werden. Frank Thomas vor 9 Jahren 0

Verwandte Probleme