Aislando el tráfico entre dos redes físicas en Ubuntu

Question

Aislando el tráfico entre dos redes físicas en Ubuntu

#1 de Julian Knight (0 votos)
#2 de WoJ (0 votos)

2

Tengo dos segmentos de red (llámelos A @ 192.168.1.x y B @ 192.168.2.x ) conectados a dos NIC ( NIC-A y NIC-B ).

El sistema operativo en la máquina física es el inventario estándar de Ubuntu, sin nada configurado para hacer puentes en el enrutamiento. Así que puede "ver" ambas redes, pero las dos redes no tienen una manera de comunicarse entre sí.

Los dispositivos en Network-B no tienen una puerta de enlace predeterminada asignada.

Network B no tiene acceso a Internet, y quiero asegurarme de que permanezca segregado.

¿Es esto suficiente para considerar esta solución bastante segura? ¿O deberíamos considerar la implementación de algo en el sistema operativo para proteger realmente estas dos redes?

ubuntu network-access-control

pregunta Goro 07.11.2017 - 23:12

fuente

2 respuestas

Lea otras preguntas en las etiquetas ubuntu network-access-control

IIS 7.5 no deje de usar el cifrado de secuencias. [cerrado] ¿Existen leyes para multar a las autoridades de certificación que emiten certificados falsos deliberadamente? [cerrado]

score 0 · Answer 1

Eso ciertamente ha segregado los datos y debería ser razonablemente seguro siempre que nada cree una ruta entre las redes más adelante. Eso no siempre es fácil de controlar cuando se usa una computadora de propósito general y un sistema operativo. Sería más seguro implementar la red utilizando hardware dedicado diseñado para este propósito.

Como no ha especificado el nivel de sensibilidad ni la razón para querer la segregación entre las redes, no creo que sea posible decir más.

score 0 · Answer 2

En su configuración, para que un paquete pase de una red a la otra, se debe indicar al núcleo que lo haga (consulte /proc/sys/net/ipv4/ip_forward para conocer el estado actual).

Confías en que esta bandera no esté en su lugar . Si bien hoy puede configurarlo para que no se reenvíe, mañana puede suceder algo que cambiará esto y sus redes se interconectarán (es suficiente para que un script habilite temporalmente el reenvío)

Por lo tanto, es mejor ser explícito , a través de una configuración de firewall. En ese caso, necesitará, de una forma u otra, cambiar la configuración del firewall, lo que es menos probable que se haga por error.

En cuanto a la parte "implementando algo en el sistema operativo" , sugeriría FireHOL que en última instancia crea las reglas de iptables , pero de una manera más descriptiva (y, por lo tanto, probablemente más seguro, ya que es menos probable que cometa un error, especialmente al principio). Mi elección anterior durante años ha sido shorewall pero se volvió demasiado complicada (aunque es una solución muy capaz).