3 votes

Utilisateur non enregistré avatar

Isoler un ordinateur dans le réseau

Demandé el 1 de Juillet, 2009
Quand la question a-t-elle été
7383 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un petit réseau et je veux isoler un des ordinateurs de l'ensemble du réseau.

Mon réseau :

                               <----> Trusted PC 1
ADSL Router --> Netgear dg834g <----> Trusted PC 2
                               <----> Untrusted PC

Je veux isoler ce PC non fiable dans le réseau.

Cela signifie que le réseau doit être protégé contre : * l'empoisonnement ARP * Sniffing * Les PC non fiables ne doivent pas voir/atteindre les autres ordinateurs du réseau mais peuvent sortir sur Internet.

  • Le DHCP statique et l'utilisation d'un commutateur résolvent le problème du sniffing et de l'empoisonnement ARP.

  • Je peux activer IPSec entre les ordinateurs mais le vrai problème est de renifler le trafic entre le routeur et l'un des ordinateurs de confiance.

  • Pour obtenir une nouvelle adresse IP (deuxième adresse IP du même ordinateur), j'ai besoin d'un pare-feu avec sécurité de port (je pense) ou je ne pense pas que mon routeur ADSL le supporte.

En résumé, je cherche un pare-feu/routeur matériel qui puisse isoler un port du reste du réseau. Pourriez-vous me recommander un tel matériel ou puis-je facilement le faire avec mon réseau actuel ?

Demandé el 1 de Juillet, 2009 par Utilisateur non enregistré

Réponses

Trop de publicités?

9voto

Toby Allen avatar
Toby Allen Points 6734

Solution 1 : Cachez le PC non fiable sous un autre routeur. Cela résoudra le problème arp-spoofing/mitm.

Solution 2 : Utilisez n'importe quel routeur avec Firmware DD-WRT . Vous pouvez y configurer différents réseaux locaux sans fil et même les placer dans différents VLAN. Dommage que les modems ADSL ne soient pas supportés par ce système.

Répondu el 1 de Juillet, 2009 par Toby Allen (6734 Points )

3voto

EtienneT avatar
EtienneT Points 1552

Un pare-feu avec plusieurs interfaces physiques (au moins 3), ou avec un support d'interface virtuelle (VLAN) résoudra ce problème. Je pense que Linksys vend des routeurs VPN SBS qui peuvent faire cela pour pas cher.

Répondu el 1 de Juillet, 2009 par EtienneT (1552 Points )

2voto

grapefrukt avatar
grapefrukt Points 16804

Je ne peux pas recommander spécifiquement un appareil, mais la situation que vous décrivez s'appelle une DMZ et est souvent utilisé pour exclure les serveurs d'autres parties du réseau ou d'autres réseaux eux-mêmes (par exemple, l'internet).

Répondu el 1 de Juillet, 2009 par grapefrukt (16804 Points )

1voto

tomjedrz avatar
tomjedrz Points 5944

Ma solution préférée... Astaro Security Gateway - gratuit pour une utilisation non commerciale - téléchargez le logiciel et installez-le sur un vieux PC avec quelques cartes réseau supplémentaires - utilisez le routeur comme point d'accès.

                                     -- NIC #2 - router - TRUSTED PCs
DSL Modem -- NIC #1 - PC running ASG - 
                                     -- NIC #3 - UNTRUSTED PC

De plus, le site de Netgear montre que le dispositif que vous listez a des capacités de "hôte exposé (DMZ)". Je ne sais pas si cela signifie que l'ordinateur "exposé" est isolé du reste du réseau, mais le manuel devrait le préciser.

Alternativement, mettez les PC NON SUIVIS derrière un second routeur comme SaveTheRbtz suggère. Cela protégera le PC de confiance trafic depuis le PC non approuvé, mais ne protège pas les PC approuvés contre les attaques d'un PC non approuvé compromis.

                      -- Router 2 -- Untrusted PC
DSL Modem -- Router 1 - 
                      -- Trusted PCs

EDIT : Mettre le PC non fiable derrière le routeur. Cela répond aux préoccupations de la question originale concernant le PC non fiable qui voit le trafic du PC fiable.
- excuses à SaveTheRbtz

Répondu el 1 de Juillet, 2009 par tomjedrz (5944 Points )

1voto

Adam Brand avatar
Adam Brand Points 6047

Si cela vous préoccupe vraiment, créez un compte DSL distinct pour cet ordinateur.

Sinon, vous pouvez acheter un routeur Linksys DD-WRT sur ebay pour 80 $ ou plus et configurer un vlan.

Répondu el 1 de Juillet, 2009 par Adam Brand (6047 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X