Isolamento del traffico tra due reti fisiche su Ubuntu

Question

Isolamento del traffico tra due reti fisiche su Ubuntu

#1 da (0 voti)
#2 da (0 voti)

2

Ho due segmenti di rete (chiamiamoli A @ 192.168.1.x e B @ 192.168.2.x ) collegati a due NIC separate ( NIC-A e NIC-B ).

Il sistema operativo sulla macchina fisica è di serie standard di Ubuntu, con niente configurato per fare bridging sul routing. Quindi può "vedere" entrambe le reti, ma le due reti non hanno modo di parlarsi.

I dispositivi su Network-B non hanno un gateway predefinito assegnato.

Network B non ha accesso a Internet e voglio assicurarmi che rimanga segregato.

È sufficiente considerare questa soluzione abbastanza sicura? O dovremmo prendere in considerazione l'implementazione di qualcosa sul sistema operativo per firewall effettivamente queste due reti?

ubuntu network-access-control

posta Goro 07.11.2017 - 23:12

fonte

2 risposte

Leggi altre domande sui tag ubuntu network-access-control

Previene l'abuso di OTP nel flusso di registrazione dell'app SMB Session Hijacking

score 0 · Answer 1

Ciò ha certamente segregato i dati e dovrebbe essere ragionevolmente sicuro fino a quando nulla crea un percorso tra le reti in seguito. Questo non è sempre facile da controllare quando si utilizza un computer e un sistema operativo generico. Sarebbe più sicuro implementare la rete utilizzando l'hardware dedicato progettato allo scopo.

Dato che non hai specificato il livello di sensibilità né il motivo per cui desideri la segregazione tra le reti, non credo sia possibile dire di più.

score 0 · Answer 2

Nel tuo setup, per avere un pacchetto che va da una rete all'altra, il kernel deve essere istruito a farlo (vedi /proc/sys/net/ipv4/ip_forward per lo stato corrente).

Fai affidamento sul fatto che questo flag non sia posizionato . Mentre oggi puoi impostare di non inoltrare, qualcosa può accadere domani che cambierà questo e le tue reti diventeranno interconnesse (è sufficiente che uno script abiliti temporaneamente l'inoltro per esempio)

È quindi meglio essere espliciti , attraverso una configurazione del firewall. In tal caso avrai bisogno, in un modo o nell'altro, di cambiare la configurazione del firewall - che è meno probabile che venga fatto per errore.

Per quanto riguarda la parte "implementare qualcosa sul sistema operativo" , vorrei suggerire FireHOL che alla fine crea regole iptables , ma in un modo più descrittivo (e quindi probabilmente più sicuro in quanto è meno probabile che tu commetta un errore, specialmente all'inizio). La mia scelta precedente per anni è stata shorewall ma è diventata troppo complicata (anche se è una soluzione molto efficace).