TifoziF1 Δημοσιεύτηκε Φεβρουάριος 14, 2014 #1 Δημοσιεύτηκε Φεβρουάριος 14, 2014 Θέλω να ρωτήσω αν σε ένα μικρό SOHO εσωτερικό δίκτυο (σαν αυτά του σπιτιου με 4-5 συσκευές ή αυτό μιας μικρής εταιρίας με 7-8 pc) θέσω στον εσωτερικό ρουτερ/DHCP ένα ip range που υπάρχει κανονικά στο internet όπως το 198.34.64.xxx ή 90.14.xx.xx (IPs που ανήκουν σε ένα πάροχο internet στην Ιταλία ή στην Σενεγάλη για παράδειγμα), πέρα από το θέμα ότι οι συσκευές δεν θα βλέπουν αυτά τα internet IPs το οποίο δεν με νοιάζει καθόλου, προκύπτει θέμα ασφάλειας ? Τι επιπτώσεις στην ασφάλεια του εσωτ. δικτύου υπάρχουν ?
it.expert Φεβρουάριος 14, 2014 #2 Φεβρουάριος 14, 2014 Τι τρελό μαγείρεμα είναι αυτό που πας να κάνεις?Η εσωτερική σου διευθυνσιοδότηση είναι εσωτερική και είτε 192.σκατ@ είναι είτε οτιδήποτε, δεν έχει να κάνει με την ασφάλειά σου από έξω προς τα μέσα.
YDinopoulos Φεβρουάριος 14, 2014 #3 Φεβρουάριος 14, 2014 Κανενα θεμα. Για καλυτερα, κοφτο και σε πιο μικρο τυπου 255.255.255224 η 255.255.255.240 !
TifoziF1 Φεβρουάριος 14, 2014 Author #4 Φεβρουάριος 14, 2014 Υπάρχει περίπτωση να είναι και καλύτερα σε θέμα ασφάλειας ?Εννοείτε βέβαια πως αυτά τα ΙΡ έχουν "κοπεί" στο WAN port.
Volrath Φεβρουάριος 14, 2014 #5 Φεβρουάριος 14, 2014 Δεν έχει καμία σημασία τι διευθύνσεις θα βάλεις στο εσωτερικό δίκτυο.Αναλογία: Στη πόλη σου (το IP που σου δίνει ο ISP σου) το ταχυδρομείο (router) έχει ορίσει ονόματα για ένα κάρο δρόμους (198.34.64.ΧΧΧ). Όταν θα σου στείλουν γράμμα (data), η διεύθυνση θα είναι της μορφής: Όνομα πόλης (internet IP) και όνομα δρόμου (198...). Δεν έχει σημασία άμα το όνομα δρόμου είναι κοινό και σε άλλες πόλεις, αρκεί το όνομα της πόλης (internet IP) να είναι μοναδικό και το όνομα του δρόμου να είναι μοναδικό στη πόλη σου. Από θέμα ασφάλειας δεν έχει κανένα νόημα. Από έξω από το δίκτυο σου τα εσωτερικά IP σου (198.34.64.xxx) αντιστοιχούν σε άλλους υπολογιστές.
defiant Φεβρουάριος 14, 2014 #6 Φεβρουάριος 14, 2014 Ούτε βελτιώνει ούτε χειροτερεύει την ασφάλεια του δικτύου.Τι προσπαθείς να αποφύγεις να πάθεις ; Αν είναι για να αποφύγεις επιθέσεις mitmτότε κοίτα για static dhcp στο router και για static arp table στα pc.
cyberdyne Φεβρουάριος 14, 2014 #7 Φεβρουάριος 14, 2014 Δεν έχει καμιά διαφορά στην ασφάλεια. Βέβαια δεν ξέρω εαν το ρούτερ σου δεχθεί να γίνει χρήση public IPs για το εσωτερικό δίκτυο, μιας και εαν είναι κλασικό modem-router έχει και NAT/PAT λογικά ενεργοποιημένο. Κατ εμέ για να έχεις πιο πολύ ασφάλεια βάλε καρφωτές ip στα μηχανήματα σου και δήλωσε τις mac-addresses απο τις κάρτες NIC των μηχανημάτων, στο ρουτερ, για να κάνει μόνο αυτά αποδεκτά.Έπειτα εξοπλίσου με ένα καλό firewall και 8ψήφια+ passwords.Αν πχ μιλάμε για cisco router (οχι linksys απλό) μπορώ να σου πω πιο ωραία κόλπα...Ελπίζώ να κατάλαβα τι θες και να βοήθησα!
TifoziF1 Φεβρουάριος 14, 2014 Author #8 Φεβρουάριος 14, 2014 Κατ εμέ για να έχεις πιο πολύ ασφάλεια βάλε καρφωτές ip στα μηχανήματα σου και δήλωσε τις mac-addresses απο τις κάρτες NIC των μηχανημάτων, στο ρουτερ, για να κάνει μόνο αυτά αποδεκτά.έχει γίνει ήδη + iptables με φιλτρο mac address αλλά αν γίνει spoof? Εκεί έρχετε το static arp αλλά με τα κινητά τι γίνεται ? Ή μπαίνουν σε δικό τους VLAN (χάνω το media streaming, backup etc) ή λέω δεν βαριέσαι καλό είνια και το WPA2/AES/25chars pass ?Να στήσω freeradius ? Αξίζει ?Έπειτα εξοπλίσου με ένα καλό firewall και 8ψήφια+ passwords. παίζω με software router/firewall (VM) τώρα να δώ πως πάει.
trendy Φεβρουάριος 14, 2014 #9 Φεβρουάριος 14, 2014 Να ορίσεις ζώνες στο firewall ώστε οι συσκευές που έχουν δημόσια διεύθυνση να είναι σε ξεχωριστή ζώνη από τιις υπόλοιπες. Κατά τ' άλλα θέλει εξίσου προσοχή είτε έχουν δημόσια είτε ιδιωτική διεύθυνση. Αλλά δεν καταλαβαίνω γιατί θέλεις να στήσεις radius ή γιατί να ανησυχείς επιπλέον αν η διεύθυνση είναι δημόσια.
TifoziF1 Φεβρουάριος 14, 2014 Author #10 Φεβρουάριος 14, 2014 Να ορίσεις ζώνες στο firewall ώστε οι συσκευές που έχουν δημόσια διεύθυνση να είναι σε ξεχωριστή ζώνη από τιις υπόλοιπες.Kάτι δεν κατάλαβα. Ο DHCP του ρουτερ δίνει public IPs (πχ 195.170.χχ.χχ) αντί για private IPs του στυλ 10.χ.χ.χ ή 192.168.χ.χ ή 172.16-31.xx.xx
cyberdyne Φεβρουάριος 14, 2014 #11 Φεβρουάριος 14, 2014 Για τι ρουτερ μιλάμε? Ο DHCP δίνει λογικά private ή οτι του ορίσεις! Να θυμάσαι: Απλές ρυθμίσεις και λίγα πράγματα. Με πολλά θα μπερδευτείς κ σε περίπτωση breach δεν θα μπορείς να βρείς από που την πάτησες.Αν μπορείς κλείσε τις πόρτες του telnet και το ping reply.
TifoziF1 Φεβρουάριος 14, 2014 Author #12 Φεβρουάριος 14, 2014 Ναι private εδινα πριν του πώ εγω να δίνει 195.170.0.2-195.170.0.30.Έιναι καλύτερα να κλείσω τις πόρτες ή να τις κάνω forward σε εσωτ. ΙΡ που δεν υπάρχει ?
cyberdyne Φεβρουάριος 14, 2014 #13 Φεβρουάριος 14, 2014 Έιναι καλύτερα να κλείσω τις πόρτες ή να τις κάνω forward σε ΙΡ που δεν υπάρχει ? Για έμενα κλείσιμο. (Plz για τι ρούτερ μιλάμε? )
TifoziF1 Φεβρουάριος 14, 2014 Author #14 Φεβρουάριος 14, 2014 Unified Threat Management | Client Firewall Appliance | Sophos UTM το τρέχω σε VM
YDinopoulos Φεβρουάριος 14, 2014 #15 Φεβρουάριος 14, 2014 Δες και της Watchguard τα Firebox. Εξαιρετικα εργαλεια.
cyberdyne Φεβρουάριος 14, 2014 #16 Φεβρουάριος 14, 2014 Πολύ καλή και φθηνή αντιπρόταση έναντι στα cisco routers, είναι τα PeplinkΔοκίμασε το interactive demo. Δεν χρειάζεται να έχεις ιδιαίτερες γνώσεις από ACL μιας και έχουν GUI με επιλογές τι να κόβεις και τι να περνάει. Πολύ απλά σε χειρισμό σε σχέση με cisco CLI.
trendy Φεβρουάριος 15, 2014 #17 Φεβρουάριος 15, 2014 Αφού έχει DMZ μπορείς να βάλεις σε αυτή τη ζώνη τα μηχανάκια με δημόσιες διευθύνσεις και στο ΛΑΝ τους υπόλοιπους με τις ιδιωτικές.
minast Φεβρουάριος 17, 2014 #18 Φεβρουάριος 17, 2014 Νομίζω είναι μια από τις περιπτώσεις που δεν χρειάζεται να κάνεις κάτι απλά επειδή μπορείς . Στο δικό μου μυαλό αυξάνει η πολυπλοκότητα χωρίς να υπάρχει προφανές πλεονέκτημα. Συνήθως το obfuscation δυσχεραίνει περισσότερο αυτόν που υποστηρίζει την υποδομή, παρά τον επίδοξο σφετεριστή... Κρατάω πάντως από όλους τις προτάσεις για appliance routers/firewalls, να δω πότε θα προλάβω να τα δοκιμάσω!
Recommended Posts
Archived
This topic is now archived and is closed to further replies.