Sichern Sie mein Netzwerk durch Subnetting?

555
RadenBlazed

Ich spiele also viel mit Heimservern herum (meistens zu Lernzwecken). Das Problem ist, dass ich all dies in meinem Heimnetzwerk mache. Während ich dazu neige, niemals Ports an meinem Router zu öffnen und alles in meinem LAN zu behalten, möchte ich für einige Dinge die Router-Ports öffnen. Da ich kein Experte bin, suche ich nach einem sichereren Weg, diese Dinge zu tun.

Bellow ist ein Abbild dessen, was ich denke. Grundsätzlich das Netzwerk untervermieten, aber ich weiß nicht, wie sicher das wäre. Ich bin auch offen für neue Ideen:

Netzwerkidee

Ich bin nicht der einzige in diesem Netzwerk, meine Frau und meine Kinder benutzen es auch. Ich möchte keinen Port für einen Dienst öffnen und habe mein gesamtes Netzwerk kompromittiert. Wenn Sie noch andere Lösungen für dieses Problem haben, bin ich offen für das Problem. Danke!

BEARBEITEN: Das Modem, das ich besitze, ist das Standardmodul, das von meinem ISP bereitgestellt wird. Es hat einen Ethernet-Anschluss und einen DSL-Anschluss, sonst nichts. Der Schalter, den ich platzieren würde, wäre der netgear prosafe GS108T. Dieser Switch wird verwaltet und unterstützt VLANs.

Der Switch verfügt über: IEEE 802.1Q Static VLAN (64 Gruppen, Statisch)

Mein Modem ist ein ARRIS CM820A.

0
Ihr erster Switch funktioniert nicht wie erwartet, es sei denn, Ihr Modem kann VLAN. Sie sollten einen Router verwenden, der VLAN kann. Dies gibt Ihnen die gewünschte Trennung und bietet gleichzeitig die beste Sicherheit. Schauen Sie sich die Dinge von OpenWRT / Tomato / etc an. Wenn das Budget knapp ist, oder schauen Sie sich einen anständigen Business-Router an. Ich neige dazu, viel mit DrayTek zu spielen - das kann man bei eBay recht günstig abholen. Diese können VLAN und haben mehrere Funktionen wie verschiedene DHCP-Server, Inter-LAN-Kommunikation usw. Kinnectus vor 5 Jahren 0
@Kinnectus: Ich denke, OP hat einfach die "Netzwerk 1/2" -Label an die falsche Stelle gesetzt. In diesem Diagramm sind sie nur unterhalb des Routers sinnvoll, nicht oberhalb. grawity vor 5 Jahren 0
@ grawity, so oder so haben sie das, was nur als dummer Schalter vor zwei Routern und hinter einem Modem angenommen werden kann ... damit sie das Diagramm erstellen können, benötigen sie das Kit, das sie erreichen kann .... oder habe ich etwas verpasst: S - Wenn das Modem ein Modem / Router (ein typischer Heim-ISP) ist, könnte dies möglicherweise funktionieren, aber es würde noch etwas VLAN-Fähigkeit oder ein intelligenter Switch mit DHCP-Helfer usw. erforderlich sein in der Lage sein, die verschiedenen Subnetze zu routen. Die einfache Lösung ist ein Router, der dies alles in einer Einheit erledigen kann. Entweder mittels portbasierter VLANs oder virtueller Schnittstellen ... Kinnectus vor 5 Jahren 1
naja das Modem wird von meinem isp zur Verfügung gestellt ... alles was es hat, ist 1 ethernet (internet) port und ein dsl cable port. Der Switch, den ich verwenden möchte, ist der netgear proSAFE, es ist ein verwalteter Switch, der VLAN bereitstellt RadenBlazed vor 5 Jahren 0
@Kinnectus: Angenommen, das Modem ist nur ein Modem. Möglicherweise ist es machbar, solange der ISP jedem Gerät eine separate öffentliche Adresse gibt. (Einige ISPs tun dies, die meisten jedoch nicht.) Wenn das Modem tatsächlich ein 3. Router ist - durchaus machbar, da das Modem / Router dem 1. / 2. Router nur interne Adressen zuweist. grawity vor 5 Jahren 0
@ Raden: Es könnte immer noch nur ein ADSL-Modem oder ein Modem / Router sein, unabhängig von der Portanzahl. (Prüfen Sie, ob es sich um einen Router handelt und ob es sich um einen Router handelt, ob er VLAN-Unterstützung bietet.) Welche andere Hardware (der 1. und 2. Router selbst) möchten Sie verwenden? Unterstützen sie VLANs (mindestens eines davon)? grawity vor 5 Jahren 0
ok Ich bin mir nicht sicher, ob mein Modem als Router funktioniert oder nicht, aber ich habe meinen PC direkt daran angeschlossen. Ich habe einen Netzwerk-Scan durchgeführt und es sieht so aus, als würde ich jeden anderen Router in meiner Nachbarschaft abholen. Er hat etwa 50 andere Geräte aufgenommen. Sie scheinen alle mit einem anderen Router verbunden zu sein? Ich habe den Scan mit dem Wireless Network Watcher durchgeführt RadenBlazed vor 5 Jahren 0
Das Problem ist, dass Ihr Modem eine einzige, öffentliche IP-Adresse von Ihrem ISP freigibt. Damit mehrere Geräte diese IP verwenden können, müssen Sie über einen Router verfügen, damit Anforderungen von LAN-IPs in die einzelne WAN-IP (NAT) übersetzt werden können. Sie können nicht einfach zwei Router an eine einzige IP-Adresse anschließen, da die einzelne IP-Adresse nicht an die "WAN" -IPs der beiden Router weitergeleitet wird (sie müssen sich unterscheiden, um sicherzustellen, dass der Verkehr korrekt zu ihnen geleitet wird). Wenn Sie beide mit dem Modem verbunden haben, müssen Sie beiden dieselbe öffentliche IP-Adresse zuweisen. Dies funktioniert nicht (es sei denn, Ihr ISP gibt Ihnen mehr als eine öffentliche IP-Adresse). Kinnectus vor 5 Jahren 0
Wenn Sie wie ein billiger Router beispielsweise mit DD-WRT arbeiten, können Sie diesen erforderlichen Router zwischen Ihrem Modem und dem Switch erstellen. Sie können dann zwei VLANs auf dem Switch erstellen und einen Trunk-Port erstellen, sodass die VLANs mit dem DD-WRT-Router zusammenarbeiten können, um die gewünschte NAT / Separation bereitzustellen. Oder Sie kaufen ein Gerät der Business-Klasse, das mit Ihrem Netgear-Switch (VLANs) zusammenarbeitet, und Sie können im Wesentlichen die Funktionalität ersetzen, die Sie in Ihrem Diagramm der beiden Router für jedes Subnetz haben. Dadurch wird die Komplexität Ihres Netzwerks auf zwei Geräte reduziert. Kinnectus vor 5 Jahren 0
ZB https://www.draytek.com.au/wp-content/uploads/2016/06/vlan-groups-1024x612.png - Sie können die gleiche Funktionalität mit DD-WRT wie Ihnen erstellen brauche * kein * teures Kit. Kinnectus vor 5 Jahren 0
ok Ich suche nach Routern für Business-Grade. Ich bin mir nicht ganz sicher, ob man meinen Zweck erfüllen würde. Würde so etwas wie der Linksys Business Dual WAN Gigabit VPN Router (LRT224) funktionieren? RadenBlazed vor 5 Jahren 0

3 Antworten auf die Frage

2
Andy

Das wird nicht funktionieren. Die Leute, die Ihre organisatorische Frage kommentieren, sind korrekt. Sie können einen Layer-2-Switch nicht vor einem Modem platzieren. Ihr ISP lässt es fast sicher nicht zu, dass mehrere Router "direkt" mit dem Modem verbunden werden. Sie erhalten keine 2 IP-Adressen, daher müssen Sie einen Router, ein Layer-3-Gerät, hier verwenden, um 1 IP-Adresse mit zwei Netzwerken zu teilen.

Der Router direkt hinter Ihrem Modem führt zwei Netzwerke aus: Eine Demilitarized Zone (DMZ - Ihr öffentliches Netzwerk) und ein privates internes Netzwerk. Der Router behandelt das NAT-Masquerading für beide Netzwerke, um das Internet zu erhalten, und Sie leiten Ports nur an Dienste in Ihrer DMZ weiter. Sie können sehr spezifische Firewall-Regeln für den Datenverkehr festlegen, der zwischen der DMZ und dem internen Netzwerk übertragen werden muss, z. B. SSH für bestimmte Maschinen.

Dafür wird ein handelsüblicher Router bevorzugt. Der Ubiquiti Edge Router Xist eine beliebte Wahl unter den Konsumenten, die für rund 50 US-Dollar kommen. Wenn Sie einen Ersatzcomputer herumliegen, ist pfsense auch eine gangbare Option. Ich empfehle nicht, die Firmware von Consumer-Routern zu ersetzen, da diese Router eine Hardwarebeschränkung haben. Die LAN-Ports befinden sich permanent im selben LAN, und VLAN wird in der Hardware möglicherweise nicht unterstützt. Diese Router sind nur für die Verwendung in einem einzigen Netzwerk konzipiert. Ergo, im besten Fall verlangsamt sich Ihr Netzwerk aufgrund von CPU-Routing. Im schlimmsten Fall funktioniert Ihre VLAN-Isolierung nicht, da die Hardware dies nicht erzwingt und Sie keine Sicherheit haben. Sowohl ER-X als auch pfSense verfügen über Assistenten für eine 2-LAN-Konfiguration und viele Online-Ressourcen, um die Konfiguration an Ihre speziellen Anforderungen anzupassen. Sehen Sie, was Sie bevorzugen, und stellen Sie weitere Fragen, wenn Sie welche haben.

Es gibt auch viele Consumer-Router, bei denen WAN / LAN-Ports VLANs einzeln zugewiesen werden können (da der SoC nur einen einzigen LAN-Port besitzt und 1x WAN + 4x-LAN per VLAN auf diesen einzelnen LAN-Port abgebildet wird. Daher ist die VLAN-Fähigkeit gegeben ). Open Firmware wie OpenWRT [macht es einfach] (https://openwrt.org/docs/guide-user/network/vlan/switch_configuration), um sie zu konfigurieren. dirkt vor 5 Jahren 0
0
schweik

Die Frage ist: Welche Art von Sicherheit möchten Sie erreichen? In dem Schema, das Sie gepostet haben, ist nur ein Bild enthalten. Sie haben nicht geschrieben, welche IP-Adresse Sie vom ISP erhalten (public / private, fix / dhcp). Welche anderen Dienste bieten ISP für Sie an (Proxy, DNS, SMTP / Pop / IMAP, MX)? Welche Betriebssysteme verwenden Ihren PC / Server? Möchten Sie einen eigenen DHCP-Server, E-Mail-, Web-, Datei-, DNS- oder einen anderen Server ausführen?

Sie können nicht vergessen, dass Sicherheit nicht bedeutet: "Kein offener Port", da die zahlreichen Katastrophen aus dem Verhalten des Client-PCs (Öffnen von gefälschten E-Mails, Malware auf einer Webseite usw.) resultieren.

Nun, meine Situation ist sehr ähnlich: ISP (gibt die öffentliche IPv4-Adresse des DHCP-Servers) <-> Modem <-> intelligenter, auf Linux basierender Router / Switch / Proxy / cachingDNS / ntp <-> Home-PCs, auf denen Linux ausgeführt wird, und wenn dies der Fall ist Spielen Sie ein MS-Windows-gesteuertes Spiel. Sie verwendet einen KVM-Qemu-virtualisierten PC, der seine virtuelle HD im Snapshot-Modus ausführt. Daher kann sie selbst einen Virus aufspüren, indem das System neu gestartet wird, indem die virtuelle Maschine neu gestartet wird. Ich kann jeden vernünftigen öffentlichen Server gelegentlich starten, entweder auf dem Linux-Gate, entweder auf einem beliebigen Heimcomputer, der ihm die Portweiterleitung oder den Reverse-Proxy gibt. Seit mehr als 15 Jahren habe ich kein ernstes Problem bekommen (ja, Harddisk faild). Ursprünglich begann ich mit einer AMD Athlon64-Kernmaschine als Linux-Gate. Vor etwa zwei Jahren bin ich zum BananaPi-Router (einer Gabel von RasberyPi) gewandert.

Ein weiterer wichtiger Teil der Sicherheit ist natürlich die regelmäßige Sicherung. Es wird dringend empfohlen, alle laufenden Systemdatenträger als Image zu speichern und eine Datensicherung mit angemessener Regelmäßigkeit durchzuführen.

Linux, was sonst noch.

0
RadenBlazed

Nachdem ich viel recherchiert und gelernt habe, kann ich verstehen, was Sie meinen. Also habe ich mir eine USED Dell Optiplex 3020 SFF und einen Intel PRO 1000 PT Quad Port 1Gb PCI Ethernet Netzwerkadapter NIC besorgt. Ich werde das Dell als eine pfsense-Firewall einrichten und damit mein Netzwerk verwalten und meine vlans einrichten.

Verwandte Probleme