4 votes

rakemanyohneth avatar

Quelle est la meilleure façon de restreindre l'accès au réseau pour une machine sur un LAN domestique ?

Demandé el 19 de Mars, 2013
Quand la question a-t-elle été
6572 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

À titre d'exemple, j'ai 3 ordinateurs sur un réseau domestique : Machine A Machine B Machine C

Ce que je voudrais faire, c'est isoler la "machine C", afin qu'elle ne puisse pas communiquer avec "A" ou "B" et vice versa. Elle doit être une entité entièrement séparée.

Disons que j'utilise un Linksys E4200. Existe-t-il un bon moyen de configurer le scénario ci-dessus avec le firmware par défaut ? Est-il possible de le faire avec un micrologiciel par défaut tel que DD-WRT ou Tomato ? Je n'ai pas d'expérience dans ce domaine mais je n'ai aucun problème à apprendre.

Je crois savoir que cela peut être fait en plaçant la "machine C" dans la zone démilitarisée. Malheureusement, on m'a dit que beaucoup de routeurs domestiques ne disposent pas d'un moyen sûr de configurer la DMZ par défaut. La solution des deux routeurs peut fonctionner, mais elle nécessite toujours de restreindre l'accès administratif de la "machine C" et ajoute un point de défaillance potentiel supplémentaire.

EDIT :

D'après ce que je vois, pour mettre en place des règles de pare-feu appropriées, j'ai besoin d'un routeur supplémentaire.

Demandé el 19 de Mars, 2013 par rakemanyohneth

Réponses

Trop de publicités?

3voto

Piotr Kula avatar
Piotr Kula Points 3678

Vous devez mettre la machine C dans sa propre portée réseau. C'est la meilleure façon d'isoler la machine et de protéger vos autres machines qui vivent sur leur propre plage d'adresses IP. Le seul problème est que vous pourriez besoin d'un routeur supplémentaire avec DHCP et port WAN ou un commutateur qui supporte NAT. Il est également possible de configurer manuellement le PC C. Il s'agit essentiellement de créer deux réseaux.

enter image description here

Votre réseau principal (par défaut en sortie de boîte)

  • IP WAN : IP Pulbic du ISP
  • IP LAN : 192.168.0.254 (IP du routeur)
  • DHCP : 192.168.0.254 (192.168.0.y - 192.168.0.z)
  • PASSERELLE : 192.168.0.254

Votre réseau protégé (modifié)

  • WAN IP - 192.168. 0 .x (De DHCP Second routeur)
  • IP LAN - 192.168. 1 .254
  • DHCP : 192.168. 1 .254 (192.168. 1 .y - 192.168. 1 .z) (pour le 2ème réseau)
  • PASSERELLE : 192.168. 0 .254 (Route vers Internet uniquement)

Manuel

Dans votre Manuel du E4200 à la page 9, il y a une section sur le routage avancé. Cela pourrait être une solution ou une méthode pour vous aider à créer des réseaux séparés. Idéalement, les routeurs les plus récents offrent des réseaux virtuels et d'autres choses de ce genre qui vous aident à mieux gérer cela.

Alternatives

C'est une avance - mais c'est l'une des préférées de tous les bons sysadmins !

Vous pouvez remplacer votre routeur actuel par un routeur avancé. pfSense compatible avec le routeur ou le PC. Il peut (et devrait) remplacer complètement le routeur de votre fournisseur d'accès. Vous devez consulter la liste de compatibilité et sélectionner un routeur de votre choix. Il nécessite l'installation de pfsense qui est FreeBSD. Les informations indiquent qu'il peut être utilisé comme pare-feu et routeur. Le routeur est ce qui vous intéresse. Mais il fait beaucoup plus !

Vous pouvez installer des proxies, squid, throttling, dns, etc. pfSense vous permet de créer autant de réseaux que vous le souhaitez et vous pouvez les configurer comme bon vous semble !

enter image description here

L'utilisation de pare-feu sur les ordinateurs eux-mêmes n'est pas la solution au problème. Cela peut vous donner un faux sentiment de sécurité, mais les pare-feu sont conçus pour protéger les connexions entrantes vers un ordinateur donné. Le blocage des ports standard entraînera des complications inattendues à long terme pour des choses qui ont été conçues pour vous faciliter la vie !

--Modification ajoutée après l'acceptation de la réponse.

Une référence externe où 2 sysdamins sur Techsnap 101 conviennent que les pare-feu ne sont pas la solution pour protéger les ordinateurs les uns des autres. Avance rapide jusqu'à la fin. Comment isoler une machine du réseau à l'aide d'un VLAN, d'un NIC ou de routes pour la question exacte que vous avez posée ici.

Répondu el 19 de Mars, 2013 par Piotr Kula (3678 Points )

2voto

Lark avatar
Lark Points 1640

La première chose qui m'est venue à l'esprit est un pare-feu.

Vous pourriez établir des règles de pare-feu sur la machine C afin d'interdire toute connexion TCP vers ou depuis 192.168.x.x (ou la configuration de votre réseau local), mais autoriser d'autres connexions sortantes. Vous devrez cependant autoriser spécifiquement les connexions à votre routeur. Bien entendu, vous devez être en mesure de verrouiller cette configuration afin que personne ne puisse modifier les règles du pare-feu.

Dans ce cas, vous pouvez également modifier les pare-feu des machines A et B pour qu'ils n'initient/ne reçoivent pas de paquets de la machine C également.

Je ne suis pas doué pour l'art ASCII mais vous pourriez aussi prendre un autre routeur. Appelez votre routeur actuel R1, et votre réseau est 192.168.1.x. Prenez R2, faites-en un client de R1, et la machine C un client de R2, par elle-même, avec le réseau 192.168.2.x. (Les machines A et B sont toujours sur R1, 192.168.1.x). Jouez avec le pare-feu sur R2, en autorisant 192.168.2.1, mais en rejetant tout ce qui est 192.168.x.x. Cela devrait vous coûter environ 50 USD$, plus un peu de temps. Vous créez essentiellement votre propre DMZ. La machine C est maintenant Double-NATted, ce qui peut être bon ou mauvais, selon ce qu'elle fait. S'il s'agit d'un serveur, vous devez maintenant autoriser les connexions depuis Internet via R1 et R2. Les pare-feu des machines A et B doivent être configurés pour 192.168.2.x. Vous pouvez toujours mettre un pare-feu à la machine C, mais vous avez toujours le pare-feu matériel sur R2 s'il est compromis.

BTW : Remplacer le firmware stock sur un E4200 peut être bon pour d'autres raisons. Certaines versions du firmware permettaient à Cisco de le "gérer en nuage". De plus, je ne suis pas sûr que vous puissiez désactiver le WPS (qui n'existe plus) par le biais du firmware standard. Si vous le faites, pouvez-vous commenter et me faire savoir comment cela fonctionne ? Mon oncle a un E4200 que j'allais reflasher dans mon temps libre infini.

Répondu el 19 de Mars, 2013 par Lark (1640 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X