Ustawienia zapory a architektura sieci
#1
Od jakiegoś czasu dręczy mnie pewne kwestia, a mianowicie jak mają się ustawienia zapór do architektur sieci, z jakich korzystamy.
Najprostszy przykład, to co mam u siebie: router wychodzący na internet, a zarazem łączący w sobie AP wifi (cały sprzęt w domu jest bezprzewodowo) z DHCP, takie typowe rozwiązanie.

Gdy teraz mam praktycznie jakąkolwiek zaporę, jestem pytany / mogę ustawić czy jest to zaufana sieć - z jednej strony, tak, bo przecież chcę mieć możliwość komunikacji z innymi komputerami z domu, z drukarką, telefonem i czymś tam jeszcze innym, co da się podłączyć. Z drugiej natomiast, częścią tej sieci jest przecież również ten router, z którego idą niespecjalnie w pełni bezpieczne dane. Wychodzi więc na to, że sieć jest bezpieczno-niebezpieczna Wink
Jak to się więc ma do ustawień? Wszystko ok, poza ręcznie wbitym adresem routera, od którego pakiety powinny być monitorowane i dla którego komputer powinien się względnie "ukrywać"? No ale tu nasuwa się samo przez się: przecież dane z innych komputerów też lecą najpierw do routera, a dopiero potem do mnie...

W efekcie wydaje mi się, że aby to pogodzić chyba musiałyby być dwa interfejsy sieciowe: typowo pod internet + typowo do sieci wewnętrznej.
No ale sam nie wiem i dlatego założyłem ten wątek, czekam na Wasze zdanie Wink
Odpowiedz
#2
Czytam ten post od 15 minut i nie wiem o co chodzi. Odświeżyłem nawet kilka razy stronę, myślałem że coś dodasz Smile
lukasamd napisał(a):Jak to się więc ma do ustawień? Wszystko ok, poza ręcznie wbitym adresem routera, od którego pakiety powinny być monitorowane i dla którego komputer powinien się względnie "ukrywać"? No ale tu nasuwa się samo przez się: przecież dane z innych komputerów też lecą najpierw do routera, a dopiero potem do mnie...

Gdy masz włączoną zaporę sieciową u siebie, to ona filtruje wszystkie połączenia, czy należą do diagnostyki sieci, czy też to zwykły HTTP. Tak więc nawet gdyby ruter stał się złym ruterem i chciał wyrządzić krzywdę, nic się nie stanie bo przecież masz zaporę. A sieć zaufana to tylko takie ułatwienie, by usługa NETBios czy Samba działała bez zbędnych poprawek (czyli owa komunikacja między komputerami)

BTW: W Outpoście jest taka fajna funkcja dotycząca kontroli sieci LAN: można zablokować komunikację, zezwolić na NETBIOS lub na wszystko.
Zresztą większość cywilizowanych ruterów ma firewalle.

Proszę, określ dokładnie temat.
Odpowiedz
#3
A może chodzi o zwykłe filtrowanie komputerów/urządzeń po adresie MAC? Dopuszcza się wtedy do macierzystego LAN komputer matkę, a w ustawieniach dostępu do sieci WiFi dopuszcza się jeszcze tylko te zaufane-domowe? Co do pojęcia "zaufane" to też jest różnica - jedne zapory określają tak wykryte sieci i tylko zaufanie daje do nich dostęp, a inne równocześnie oprócz ich wykrycia przydzielają im dodatkowo możliwość współdzielenia plików/drukarek - wtedy można je mieć podłączone, ale bez tego współdzielenia. Kurna...sam się chyba zapętliłemWall
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Teraz wiesz, po co w dużych firmach stosuje się intranet Smile
Odpowiedz
#5
No właśnie ogólnie o to mi chodzi - w domu mam włączone udostępnianie plików, drukarka jest po sieci itd.
Co jeżeli coś złego wpadnie przez router? On też jest elementem tej sieci wewnętrznej, a zarazem łącznikiem zewnętrznej (jak to router, łączy 2 sieci).
Odpowiedz
#6
Włączasz filtrowanie MAC + FW (w routerze) + WPA2 z szyfrowaniem i mocnym hasłem i powinno być git Tongue
Realtime: Sandboxie + Windows Firewall Control + NoVirusThanks EXE Radar Pro
Web browser: Firefox + Ghostery + NoScript
Password Manager: S10 Password Vault PL
Recovery: Rollback Rx
Odpowiedz
#7
Tak jak Eru mówi...szyfrowanie, silne hasło...do tego po MAC adresie tylko jeden komputer-matka do LAN i reszta urządzeń po WiFi -tylko domowe. Nie wiem czy masz opcję rozgłaszania sieci - jeśli nie dajesz dostępu nikomu innemu, to możesz wyłączyć rozgłaszanie. Wtedy sieć nie będzie widoczna w oknie dostępnych sieci bezprzewodowych. Wydaje mi się, że tak ograniczysz - przynajmniej na ruterze - dostęp niepowołanych użytkowników. Poza rozgłaszaniem sieci mam takie ustawienia u siebie i nie mam problemów...jak ktoś do syna przychodzi i chce się podłączyć do sieci, to jednorazowo wchodzę w ustawienia rutera i robię mu dostęp do WiFi.
Na komputerze matce mam do tego jako zaporę programową OA Free i tam sieć jest odznaczona jako niezaufana - nie udostępniam plików/drukarek, bo nie mam takiej potrzebydlatego też wykryte komputery/urządzenia są również jako niezaufane.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#8
Poza tym jak urządzenie nie połączy się przez router to nie będzie miało dostępu do zasobów/drukarek więc nie ma się o co bać Tongue
Realtime: Sandboxie + Windows Firewall Control + NoVirusThanks EXE Radar Pro
Web browser: Firefox + Ghostery + NoScript
Password Manager: S10 Password Vault PL
Recovery: Rollback Rx
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości