+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Zapory sieciowe (Firewall'e) (https://safegroup.pl/forum-9.html)
+--- Wątek: Ustawienia zapory a architektura sieci (/thread-3232.html)
Ustawienia zapory a architektura sieci - Konto usunięte - 29.07.2011
Od jakiegoś czasu dręczy mnie pewne kwestia, a mianowicie jak mają się ustawienia zapór do architektur sieci, z jakich korzystamy.
Najprostszy przykład, to co mam u siebie: router wychodzący na internet, a zarazem łączący w sobie AP wifi (cały sprzęt w domu jest bezprzewodowo) z DHCP, takie typowe rozwiązanie.
Gdy teraz mam praktycznie jakąkolwiek zaporę, jestem pytany / mogę ustawić czy jest to zaufana sieć - z jednej strony, tak, bo przecież chcę mieć możliwość komunikacji z innymi komputerami z domu, z drukarką, telefonem i czymś tam jeszcze innym, co da się podłączyć. Z drugiej natomiast, częścią tej sieci jest przecież również ten router, z którego idą niespecjalnie w pełni bezpieczne dane. Wychodzi więc na to, że sieć jest bezpieczno-niebezpieczna
Jak to się więc ma do ustawień? Wszystko ok, poza ręcznie wbitym adresem routera, od którego pakiety powinny być monitorowane i dla którego komputer powinien się względnie "ukrywać"? No ale tu nasuwa się samo przez się: przecież dane z innych komputerów też lecą najpierw do routera, a dopiero potem do mnie...
W efekcie wydaje mi się, że aby to pogodzić chyba musiałyby być dwa interfejsy sieciowe: typowo pod internet + typowo do sieci wewnętrznej.
No ale sam nie wiem i dlatego założyłem ten wątek, czekam na Wasze zdanie
Re: Ustawienia zapory a architektura sieci - Eugeniusz - 29.07.2011
Czytam ten post od 15 minut i nie wiem o co chodzi. Odświeżyłem nawet kilka razy stronę, myślałem że coś dodasz
lukasamd napisał(a):Jak to się więc ma do ustawień? Wszystko ok, poza ręcznie wbitym adresem routera, od którego pakiety powinny być monitorowane i dla którego komputer powinien się względnie "ukrywać"? No ale tu nasuwa się samo przez się: przecież dane z innych komputerów też lecą najpierw do routera, a dopiero potem do mnie...
Gdy masz włączoną zaporę sieciową u siebie, to ona filtruje wszystkie połączenia, czy należą do diagnostyki sieci, czy też to zwykły HTTP. Tak więc nawet gdyby ruter stał się złym ruterem i chciał wyrządzić krzywdę, nic się nie stanie bo przecież masz zaporę. A sieć zaufana to tylko takie ułatwienie, by usługa NETBios czy Samba działała bez zbędnych poprawek (czyli owa komunikacja między komputerami)
BTW: W Outpoście jest taka fajna funkcja dotycząca kontroli sieci LAN: można zablokować komunikację, zezwolić na NETBIOS lub na wszystko.
Zresztą większość cywilizowanych ruterów ma firewalle.
Proszę, określ dokładnie temat.
Re: Ustawienia zapory a architektura sieci - ichito - 29.07.2011
A może chodzi o zwykłe filtrowanie komputerów/urządzeń po adresie MAC? Dopuszcza się wtedy do macierzystego LAN komputer matkę, a w ustawieniach dostępu do sieci WiFi dopuszcza się jeszcze tylko te zaufane-domowe? Co do pojęcia "zaufane" to też jest różnica - jedne zapory określają tak wykryte sieci i tylko zaufanie daje do nich dostęp, a inne równocześnie oprócz ich wykrycia przydzielają im dodatkowo możliwość współdzielenia plików/drukarek - wtedy można je mieć podłączone, ale bez tego współdzielenia. Kurna...sam się chyba zapętliłem
Re: Ustawienia zapory a architektura sieci - JarekMk - 29.07.2011
Teraz wiesz, po co w dużych firmach stosuje się intranet
Re: Ustawienia zapory a architektura sieci - Konto usunięte - 29.07.2011
No właśnie ogólnie o to mi chodzi - w domu mam włączone udostępnianie plików, drukarka jest po sieci itd.
Co jeżeli coś złego wpadnie przez router? On też jest elementem tej sieci wewnętrznej, a zarazem łącznikiem zewnętrznej (jak to router, łączy 2 sieci).
Re: Ustawienia zapory a architektura sieci - Eru - 29.07.2011
Włączasz filtrowanie MAC + FW (w routerze) + WPA2 z szyfrowaniem i mocnym hasłem i powinno być git
Re: Ustawienia zapory a architektura sieci - ichito - 29.07.2011
Tak jak Eru mówi...szyfrowanie, silne hasło...do tego po MAC adresie tylko jeden komputer-matka do LAN i reszta urządzeń po WiFi -tylko domowe. Nie wiem czy masz opcję rozgłaszania sieci - jeśli nie dajesz dostępu nikomu innemu, to możesz wyłączyć rozgłaszanie. Wtedy sieć nie będzie widoczna w oknie dostępnych sieci bezprzewodowych. Wydaje mi się, że tak ograniczysz - przynajmniej na ruterze - dostęp niepowołanych użytkowników. Poza rozgłaszaniem sieci mam takie ustawienia u siebie i nie mam problemów...jak ktoś do syna przychodzi i chce się podłączyć do sieci, to jednorazowo wchodzę w ustawienia rutera i robię mu dostęp do WiFi.
Na komputerze matce mam do tego jako zaporę programową OA Free i tam sieć jest odznaczona jako niezaufana - nie udostępniam plików/drukarek, bo nie mam takiej potrzebydlatego też wykryte komputery/urządzenia są również jako niezaufane.
Re: Ustawienia zapory a architektura sieci - Eru - 29.07.2011
Poza tym jak urządzenie nie połączy się przez router to nie będzie miało dostępu do zasobów/drukarek więc nie ma się o co bać