Bezpieczeństwo danej sieci komputerowej.

pytanie zadane 16 kwietnia 2019 w Bezpieczeństwo, hacking przez dawid.kowalski Nowicjusz (120 p.)

Witam Was.

Na samym początku chciałbym zaznaczyć, że dany schemat sieci został stworzony, tylko dla zaspokojenia mojej ciekawości w aspekcie bezpieczeństwa (nigdzie nie mam zamiaru wdrażać takiego czegoś).

Do czego zmierzam...załóżmy, że mam taką topologię, jak widać na obrazku. Jest to zwykła, mała sieć domowa bazująca na tanim routerze i tanim, malutkim 5 portowym przełączniku za 30 zł.
1. Łącząc komputery do przełącznika narażam je na dodatkowe niebezpieczeństwa (PC uposażam oczywiście w dobrego firewalla i antywirusa) niż miało by to miejsce, gdybym odpiął przełącznik i podłączył interfejs WAN od neta w interfejs WAN routera, a PC w interfejsy LAN routera?
2. Czy w przypadku konfiguracji z obrazka stacje PC pojawią się w strefie DMZ i będzie je można bez problemu zainfekować np. wirusem prosto z internetu (przypomnę, że na stacjach PC jest dobry firewall i antywirus)?
3. Czy prócz komputerów cokolwiek innego, podłączonego później w tej sieci mogłoby zostać zarażonym np. jakimś malware.

Przecież takie tanie routery nie posiadają w sobie żadnego antywirusa, tylko jedynie firewalla. A firewall może być programowy na PC.
Ciekawi mnie to bardzo bo jeszcze kilka lat temu jak się wpinało PC prosto do WAN to komputer z miejsca dostawał jakieś świństwo. Nie wiem, jak jest teraz.
Z góry dziękuję za pomoc.

1	komentarz 16 kwietnia 2019 przez MsMaciek123 Pasjonat (24,760 p.) Obrazek bardzo profesjonalny. Pochwała dla Paint'a ;)

1 odpowiedź

odpowiedź 17 kwietnia 2019 przez Ehlert Ekspert (212,670 p.)

Rozumiem że pierwsze co jest widoczne z sieci wan pod adresem publicznym to... Twój switch. Który może mieć dostępny panel admina.
Nie rozumiem za bardzo jaki sens ma taka topologia. Podłącz na pierwszy ogień router. Switch daj za nim i do niego stacje klienckie.
O ile wiem przy zaproponowanej przeze mnie konfiguracji da się ustawić dmz, ale nie ma to większego sensu, biorąc pod uwagę publiczny dostęp z zewnątrz oraz jakość sprzętu jakim dysponujesz.
Odpowiadając na pytanie 3: jeśli masz ogarnięty malware w sieci z luźną topologią to kaplica. Twój przykład jest dość mały ale przy większych sieciach wydziela się poszczególne grupy stacji roboczych i innych urządzeń. Taki zabieg ma cel odseparowania reszty infrastruktury od tej która mogła zostać potencjalnie skompromitowana.

Ogólnie mimo tego, że na końcu kabla masz publiczne ip, to nie musisz wymyślać cudów. Zwykły router, odpowiednio pokonfigurowany + dobre hasło + powyłączanie nieużywanych portów powinno załatwić sprawę.

komentarz 17 kwietnia 2019 przez dawid.kowalski Nowicjusz (120 p.)

1. Nie...napisałem na początku, że kabel z WAN od ISP wchodzi w zwykły tani przełącznik za 30 zł. Takie są niezarządzalne najczęściej. W ten switch wchodzi również sieć LAN. Czyli WAN i LAN na jednym zwykłym przełączniku.

2. Napisałem też na początku, że taka topologia powstała ponieważ zainteresowało mnie to pod kątem bezpieczeństwa i nigdzie nie będę takiej topologi stosował.

3. Ja nic nie mówiłem o ustawieniu DMZ celowo, tylko zainteresowałem się czy przypadkiem w takiej konfiguracji nie powstanie taka strefa (WAN wchodzi w LAN)

Wiem, że nie muszę wymyślać cudów - przykład po prostu z głowy, dla zaspokojenia ciekawości (wiem też, że jest głupi, bez sensu i nie logiczny ) :)

Więc zadam inne pytanie. Dlaczego zwykły tani router brzegowy byłby w stanie zabezpieczyć sieć lepiej niż zwykłe PC wyposażone w odpowiedni soft ? Tylko o to mi chodzi.

komentarz 17 kwietnia 2019 przez Ehlert Ekspert (212,670 p.)

Żadne urządzenie w domyślnej konfiguracji nie tworzy dmz.

Dlaczego router a nie pc? Bo na pc instalujesz różne usługi których portów nie chciałbyś wystawia automatycznie na świat. router ma dwa interfejsy sieciowe, więc idealnie nadaje się do oddzielnia wana od lana, z resztą do tego służy.