Én internettforbindelse ut til to separate nettverk

[mhw357]

How To: One Internet connection - Two Private LANs

 

Men Canal Digital gir ut flere IP adresser (det gjør de iallefall hos meg), så da kan du bare koble to routere inn i en svitsj, og så har du to helt separate nett

[Jankee]

slenger meg på mhw357s anbefaling med å utnytte at Canal digital leverer fleire iper pr modem (iper) og at desse er skilt frå kvarandrei ip-rang.

 

 

Modem --> Svitsj --> router 1 og router 2 i kvar sin port.

 

Då vil ein unngå dobbel NATing og anna kluss iforhold til det å sette opp to vlan.

[zZzZz]

OK, nå har jeg funnet ut hva routeren heter; det er en Jensen Scandinavia AirLink 89300. Støtter denne å lage to nettverk?

[geirgp]

Trenger bare to routere. Hovedrouteren brukes til trådstarter og andre vanlige brukere. Router 2 settes bak router 1(i en lan port) og brukes kun av huseier med maskinen som skal ha tilgang til journaler. Eg regner uansett med at trafikken fra/til journalene er kryptert. Maskinene som står tilkoblet router 1 vil da ikke ha mer tilgang til maskinen som står bak router 2 enn hva brukere på internett har i dag til maskinene.

 

1:

For at dette skal være helt sikkert trengs det 3 routere. All trafikk fra en pc koblet til router 2 kan fanges opp av pc koblet i router 1 ved å bruke ARP poisoning - dette uten at pc koblet i router 2 merker noe som helst. Det eneste man oppnår ved å bruke 2 routere slik du har foreslått er at pc i router 2 får en ekstra brannmur. For å beskytte seg mot ARP poisoning må man ha 3 routere i en Y-konfigurasjon som foreslått av jocke.

 

2:

Ikke anta at noe som helst er kryptert før du vet at det helt sikkert er. Jeg jobber selv som it-konsulent og har sett flere eksempler på elending/ingen sikring av slik kommunikasjon. Kombinert med ARP poisoning for å fange opp trafikk er dette en oppskrift på katastrofe.

 

Dette høres kanskje ekstremt ut, men når huseieren din har bedt om å ha separate nett pga sikkerhet så er det ikke vits i å gjøre det halvveis.

 

Edit:typo

Endret 8. januar 2010 av geirgp

[jocke]

Nå som det er kommet frem at det er CD som er ISP, så kan det gjøres som foreslått av flere i tråden; koble to routere inn i en switch (etter CD-modemet), og så har dere 2 fysisk adskilte nett - med to forskjellige eksterne ip adresser.

[nomore]

Ikke uenig. Men strengt tatt er løsningen fortsatt sårbar for ARP poisoning fra maskiner tilkoblet router 1, selv i en Y-konfigurasjon.

 

Dersom sikkerhet er en høy prioritet, og ingenting skal antas, så mener eg den beste løsningen er som følger:

- Kjøpe en avansert brannmur med støtte for IDS/IPS(med DPI) og VLAN.

- Kjøpe en avansert switch med støtte for VLAN og låsing av MAC-adresser til porter.

- Kjøpe et trådløst accesspunkt med støtte for WPA2, skjuling av SSID og filtrering av MAC-adresser.

- Alt utstyret låses inn i et lite skap.

 

På den måten vil det ikke være fysisk tilgang til noen porter på switch eller router bortsett fra for de som har nøkkel. Ingen kommunikasjon vil foregå på porter bortsett fra maskiner som er satt opp på forhånd, og da låst til ei MAC adresse. To separate virtuelle nettverk, et for maskinen med sensitiv info og et for resten. Kun det sistnevnte har trådløs tilgang. Det trådløse nettet er "skjult", har "god" kryptering og tillater kun forhåndsgodkjente maskiner. I tillegg er trafikken mellom nettene og internett overvåket av en god brannmur og ikke minst et innholdsfilter og deep packet inspection. Da har man en god løsning. Kostnad på ca 6-7k pluss arbeid.

 

Men ut over det er eg enig i at siden trådstarter har CD med mulighet for flere eksterne IP adresser så er det den rimeligste løsningen og bør gi grei sikkerhet.