Aislando el tráfico entre dos redes físicas en Ubuntu

2

Tengo dos segmentos de red (llámelos A @ 192.168.1.x y B @ 192.168.2.x ) conectados a dos NIC ( NIC-A y NIC-B ).

El sistema operativo en la máquina física es el inventario estándar de Ubuntu, sin nada configurado para hacer puentes en el enrutamiento. Así que puede "ver" ambas redes, pero las dos redes no tienen una manera de comunicarse entre sí.

Los dispositivos en Network-B no tienen una puerta de enlace predeterminada asignada.

Network B no tiene acceso a Internet, y quiero asegurarme de que permanezca segregado.

¿Es esto suficiente para considerar esta solución bastante segura? ¿O deberíamos considerar la implementación de algo en el sistema operativo para proteger realmente estas dos redes?

    
pregunta Goro 07.11.2017 - 23:12
fuente

2 respuestas

0

Eso ciertamente ha segregado los datos y debería ser razonablemente seguro siempre que nada cree una ruta entre las redes más adelante. Eso no siempre es fácil de controlar cuando se usa una computadora de propósito general y un sistema operativo. Sería más seguro implementar la red utilizando hardware dedicado diseñado para este propósito.

Como no ha especificado el nivel de sensibilidad ni la razón para querer la segregación entre las redes, no creo que sea posible decir más.

    
respondido por el Julian Knight 12.11.2017 - 16:48
fuente
0

En su configuración, para que un paquete pase de una red a la otra, se debe indicar al núcleo que lo haga (consulte /proc/sys/net/ipv4/ip_forward para conocer el estado actual).

Confías en que esta bandera no esté en su lugar . Si bien hoy puede configurarlo para que no se reenvíe, mañana puede suceder algo que cambiará esto y sus redes se interconectarán (es suficiente para que un script habilite temporalmente el reenvío)

Por lo tanto, es mejor ser explícito , a través de una configuración de firewall. En ese caso, necesitará, de una forma u otra, cambiar la configuración del firewall, lo que es menos probable que se haga por error.

En cuanto a la parte "implementando algo en el sistema operativo" , sugeriría FireHOL que en última instancia crea las reglas de iptables , pero de una manera más descriptiva (y, por lo tanto, probablemente más seguro, ya que es menos probable que cometa un error, especialmente al principio). Mi elección anterior durante años ha sido shorewall pero se volvió demasiado complicada (aunque es una solución muy capaz).

    
respondido por el WoJ 10.08.2018 - 13:26
fuente

Lea otras preguntas en las etiquetas