Una sottorete proteggerebbe il resto della rete durante il test di virus, ecc.?

3

Attualmente ho un router SOHO standard che ci colleghiamo per navigare in Internet, ecc. Mentre svolgo il mio tirocinio in rete, vorrei sapere se una sottorete proteggerebbe il resto della rete quando collaudo altri computer.

Ad esempio, vorrei impostare uno scenario in cui navigo in Internet senza antivirus, antimalware, ecc. Se uno dei computer di prova che ho impostato è infetto, vorrei assicurarmi che nessuno degli altri computer che sono usato regolarmente sarà infetto.

Una sottorete fornisce tale sicurezza? In caso contrario, quale tipo di installazione dovrei considerare e come dovrei configurarla?

networking  home-networking 
PeanutsMonkey
fonte
1
Internet è una sottorete diversa dalla LAN; Hai mai preso un virus da Internet? :)
Ƭᴇcʜιᴇ007,

Risposte:

1

Dipende se le sottoreti sono impostate per comunicare tra loro. Se lo sono, allora non fa differenza e fa più lavoro per te. Se sono effettivamente isolati e possono vedere solo Internet, dovresti essere al sicuro. Prova a eseguire il ping di un computer su una sottorete separata e vedi se riesci ad accedervi. Se non è possibile e i firewall sono disattivati, è probabilmente una scommessa sicura.

Qui nel mio negozio di computer, abbiamo il nostro modem collegato a uno switch, quindi due router al di fuori dello switch. Uno per il lato "tecnologico" e uno per il lato "infetto" (ovvero macchine client)

Luke canadese
fonte
Grazie. Sono curioso di sapere come posso configurarli in modo che non possano comunicare tra loro. Cosa avrei bisogno di fare?
PeanutsMonkey,
Bene, uno switch e due router è il percorso rapido, non necessario per la configurazione. Se si desidera utilizzare il router integrato, suggerirei di utilizzare DD-WRT se è compatibile
Luke canadese,
Ci scusiamo per essere un n00b per aver visto che ho un router ADSL, si collegherebbe allo switch che i 2 router aggiuntivi avrebbero appeso?
PeanutsMonkey,
Moden -> Switch -> Router 1, quindi Modem -> Switch -> Router 2
Canadian Luke,
quindi che sarebbero 2 switch e 2 router?
PeanutsMonkey,
3

La creazione di una sottorete separata non offre in realtà alcuna sicurezza aggiuntiva a meno che non vi sia un qualche tipo di firewall tra le due sottoreti che filtra il traffico.

Se il malware eseguirà la scansione dell'altra rete alla ricerca di sistemi da sfruttare, probabilmente si avvierebbero nella sottorete che viene utilizzata sul computer locale, ma non si ferma alla loro, potrebbe semplicemente avviare la scansione di altre reti.

Zoredache
fonte
Quindi, ciò che Luke ha suggerito non funzionerebbe senza un firewall? Voglio impostare uno scenario in cui ogni sottorete può condividere la stessa connessione Internet ma NON vedersi o comunicare, ecc.
PeanutsMonkey,
@PeanutsMonkey Vuoi che il lato "pulito" sia murato contro gli attacchi dal lato "sporco".
Ƭᴇcʜιᴇ007,
2

L'unico effetto che diverse subnet hanno sulla propagazione dei virus è se quel particolare malware rileva la sottorete locale solo come vettore di espansione. Le sottoreti significano solo che deve passare attraverso un dispositivo di livello tre per raggiungere l'altra sottorete. Se si stesse utilizzando una vecchia pix o ASA tra le due sottoreti, una sarebbe in grado di avviare un contatto con l'altra, ma non viceversa. Questo è il vantaggio dell'utilizzo di un vero firewall SOHO su un router soho con hosting DMZ. Il router soho non isola l'host DMZ. In questo modo non è effettivamente una DMZ o una rete separata.

La soluzione per quello che stai cercando di fare se non vuoi essere infettato da PC infetti è utilizzare un vero firewall Soho con una vera DMZ impostata. Una pix 501 è piuttosto economica nella baia delle pulci. In alternativa, potresti ottenere un vecchio computer con tre schede di rete e installare una distribuzione Linux su di esso ... quindi configurare ipchains / iptables in modo appropriato.

RobotHumans
fonte
Cosa intendi con If you were using an old pix or ASA between the two subnets then one would be able to initiate contact in to the other but not vice versa?
PeanutsMonkey,
Il pix è configurato per zone. le porte in una zona non possono iniziare il contatto con zone più sicure. le porte in zone più sicure possono inizializzare il contatto in zone meno sicure. Quindi aiuta a mantenere il malware nella zona meno sicura
RobotHumans,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.