¿Se puede usar un segundo enrutador como un cortafuegos artificial?

Navega tus respuestas
1

Me preguntaba si puedo hacer un firewall artificial utilizando dos enrutadores (referidos como Router 1 y Router 2). Mi servidor estará en el enrutador # 1 mientras que el enrutador # 2 aloja todos los demás dispositivos en mi red. Estaba pensando que el enrutador # 2 podría ser una "entidad" totalmente separada y aparecer como un dispositivo singular en la red. Por lo tanto, si las personas que infringen el servidor, solo el enrutador # 1 será violado, y el enrutador # 2 podría seguir protegido. Intentaré mostrarte de una manera más visual.

Router # 1 (192.168.0.1) / Servidor "FreeBSD 10.0" (192.168.0.2), Router # 2 (192.168.0.3)

Como puede ver, el Router # 2 se vería como cualquier dispositivo normal al Router # 1

(se verá como 192.168.0.3 al enrutador # 1) Enrutador # 2 (192.168.1.1) / PC "Windows 7" (192.168.1.2), PC "Windows 8.1" (192.168.1.2)

¿Funcionará esta configuración? ¿Se ha hecho antes? Estas son mis preguntas. ¿Qué puedo hacer para que esto funcione?

    
pregunta Nicholas Awesomepants 31.05.2016 - 05:11
fuente

2 respuestas

2

Suponiendo que los enrutadores que está utilizando tienen listas de acceso con estado, entonces pueden usarse como cortafuegos de red básicos y el diseño que tiene proporcionará algunos beneficios muy básicos de defensa en profundidad. Si es posible, es posible que desee bloquear todos los paquetes entrantes iniciados por el servidor Free-BSD que ingresa al segundo enrutador (los clientes detrás del segundo enrutador aún pueden acceder al servidor, pero no al revés, ya que los paquetes TCP ACK 0 entrantes a la red interna estar bloqueado).

¿Funcionará? Sí, pero podría ser más fácil si segmentas los rangos de la red para que no se superpongan. Tal vez use una red 192.168.1.x y una red 192.168.2.x (hay MUCHAS maneras de hacer esto, solo estoy lanzando un ejemplo muy básico) ...

¿Se ha hecho esto antes? Sí, hace mucho tiempo antes de que los firewalls fueran populares y económicos, esta es una forma en que las personas segmentan las redes.

Nota: solo porque esto funcione no significa que sea una buena idea. Algunos enrutadores eliminan temporalmente sus reglas de filtrado cuando están bajo presión y permiten que "todo" el tráfico pase. Los cortafuegos generalmente no se comportan de esta manera. Del mismo modo, casi cualquier firewall ofrecerá muchas características adicionales que los enrutadores no podrán ofrecerle.

Si tiene un presupuesto, le recomiendo que simplemente utilice algo como IPTables o PFSense.

Como nota al margen, si su Primer enrutador tiene 3 interfaces, también puede usar una interfaz para conectarse a Internet, una segunda para su servidor Free-BSD y luego la tercera para su red interna y no necesita el segundo enrutador Crea el mismo tipo de segmentación. (Piense en un diagrama de red en forma de Y)

    
respondido por el Trey Blalock 31.05.2016 - 07:38
fuente
0

Ya que tiene freebsd, puede usar ipfw para el uso del firewall. Sin embargo, si entiendes cómo funcionan las brechas, no comienzan desde el exterior hacia adentro, en su mayoría están al revés.

Los firewalls pueden detener el escaneo externo a redes internas, pero los hosts internos se ven comprometidos y eso es un hervidor de peces diferente.

    
respondido por el mkin 31.05.2016 - 05:55
fuente

Lea otras preguntas en las etiquetas

¿Qué es un dispositivo que escanea la red a la que está conectado? Denegación de servicio durante el escaneo [cerrado]