2個區域網路在同一個交換機上安全嗎?
我有一個帶 5 個埠的調製解調器。每個埠都從 Web 獲取一個靜態 IP 地址。基本上,如果我從家裡 ping 那些靜態 IP 地址之一,我將直接 ping 那些埠之一。
第一個埠是我們公司的路由器/防火牆,後面是一個交換機,所有公司都通過同一個公共 IP 訪問網際網路。
如果 id 將調製解調器的第二個埠直接連接到交換機會發生什麼?
我的期望是不會發生任何事情,因為它具有不同的子網,並且可以通過簡單地更改區域網路適配器設置從單個工作站繞過伺服器。
我說得對嗎?它是安全的還是會導致安全漏洞?
我需要存檔的是某些電腦在某些情況下應該能夠繞過防火牆。
謝謝!
您的圖表對澄清這個問題有很大幫助。
當且僅當您的大型交換機是可管理的,並且您可以配置 VLAN 以強制將路由器防火牆外部流量與路由器防火牆內部流量分開時,您正在做的事情是好的。
當內部機器需要臨時移動到外部 LAN 時,您可以更改其適配器設置並告訴交換機將其埠從內部 VLAN 中取出並添加到外部 VLAN。
否則,內部某人注意到他們可以在外部網路上給自己一個介面別名並完全避開防火牆只是時間問題,或者有人已經破壞了其中一個外部盒子會注意到如果他們在內部給自己一個別名網路,他們繞過了您的防火牆,您的公司 LAN 任由他們支配。
如果您這樣做是為了故意繞過這種分離,那麼您將承擔巨大的風險。
編輯:到底是什麼讓你認為一台電腦在任何時候只能在兩個 LAN 之一上,如果交換機沒有強制執行這種分離?假設我是一名攻擊者,並且我已經購買了一台目前連接到調製解調器的機器(它本身就是一個開關)。我們稱那台機器為 ALF。
我現在給 ALF 一個介面別名,其中包含一個適當的內部網路地址(通過在混雜模式下觀察 ALF 的 NIC 上的 ARP 廣播,我可以很容易地推斷出它的存在和定址)。現在我可以直接 PING - 因此攻擊 - 伺服器,而防火牆永遠不會看到我的流量。
我會再說一次,所以很清楚:如果你用一根電纜繞過你的防火牆連接到你的主交換機,並且不做任何安排讓沿著該電纜的流量遠離你的主網路,你死了。