Question Partage d'un commutateur avec des interfaces internes et externes


Je me demande s’il serait prudent de configurer mon réseau avec un seul commutateur exécutant des interfaces internes et externes.

Actuellement, j'ai un bloc d'adresses IP 255.255.255.240 du FAI et un réseau privé 10.10.10.0/24 du routeur. Le routeur possède un port WAN et est configuré avec l’une des adresses IP externes sous la forme d’une adresse IP statique. Tous les ordinateurs sont actuellement hors du réseau privé. Le commutateur utilisé est un NETGEAR JGS516.

En gros, la configuration actuelle est la suivante:

  Computers  ----  Switch  ---- Router ---- ISP's Switch

Voici ce que j'aimerais faire (en branchant les ports WAN et LAN du routeur sur le commutateur):

                  Router
                    /\
 Computers  ----  Switch  ---- ISP's Switch

J'ai essayé de faire cela et cela semble fonctionner. Je peux attribuer des adresses IP publiques et privées à des ordinateurs qui fonctionnent tous les deux.

La raison pour laquelle je souhaite effectuer ce changement est que les ordinateurs situés derrière le commutateur peuvent se voir attribuer des adresses IP publiques. Je souhaite que certains d’entre eux n’aient que des adresses IP publiques, d’autres uniquement des adresses privées et que certains se voient attribuer des adresses IP privées et publiques à l’aide de la seule carte réseau de l’ordinateur.

Ce que je veux savoir, c'est:

Quels seraient les inconvénients de cette configuration?

Cela compromettrait-il la sécurité sur le réseau?

Les machines peuvent-elles accéder aux ordinateurs auxquels une adresse IP privée est uniquement attribuée?

Quelque chose d'autre que je devrais savoir?


4
2017-10-07 19:57


origine




Réponses:


Toutes nos félicitations. Vous avez éliminé efficacement toute sécurité fournie par votre routeur pour votre réseau interne.

Ce que vous devez faire, c'est remettre les choses en place et les mettre en place NAT sur votre routeur à NAT l'adresse IP publique appropriée à l'adresse IP privée appropriée.


8
2017-10-07 20:05



Merci. C'est pourquoi je pose la question ici avant de configurer le réseau de cette façon. Je n’ai que brièvement installé un banc d’essai distinct pour voir s’il était réellement possible de faire fonctionner les connexions de cette façon. - Matt


Quels seraient les inconvénients de cette configuration?

Sécurité. Les machines auxquelles vous avez affecté des adresses IP publiques sont maintenant complètement exposées à Interwebs.

Cela compromettrait-il la sécurité sur le réseau?

Oui. Si vos machines publiques sont piratées, vous constaterez rapidement que vous avez des problèmes sur votre réseau local non privé.

Les machines peuvent-elles accéder aux ordinateurs auxquels une adresse IP privée est uniquement attribuée?

Je suppose que vous voulez dire du réseau public? Non, ils ne seraient pas routables directement. Mais voir ci-dessus.

Quelque chose d'autre que je devrais savoir?

Oui, retournez à la méthode d'origine. S'il s'agit d'une variante Cisco ou HP, vous devez configurer des règles NAT pour mapper les adresses IP publiques sur les serveurs internes, puis ajouter des contrôles de liste d'accès spécifiques pour verrouiller les ports ouverts et contrôler les réseaux sources, le cas échéant.


4
2017-10-07 20:18



D'après votre description, il me semble que l'utilisation d'un NAT aurait la même sécurité. Si la machine est piratée, elle est vissée dans les deux sens. Quelle serait la différence entre un ordinateur directement attribué avec des ports verrouillés (iptables) et une règle NAT pour l’IP au serveur? - Matt
@ Matt: Il s'agit de la sécurité à travers les couches. L'entrée / la sortie de votre réseau (votre pare-feu ou votre routeur) devrait constituer la première couche de sécurité. C'est comme si une porte d'un bâtiment était verrouillée et que toutes les portes des bureaux situées à l'intérieur du bâtiment étaient verrouillées. Quelqu'un doit d'abord entrer dans le bâtiment pour pouvoir entrer dans un bureau. Sans une porte verrouillée sur le bâtiment, vous laissez les pirates à l'intérieur du bâtiment où ils sont libres de vagabonder sur les tests pour les portes de bureau déverrouillées ou les portes de bureau avec des serrures faibles, qu'ils trouveront dans peu de temps. - joeqwerty
@ joeqwerty Je ne vois pas cette analogie appropriée dans ce cas. Disons que le routeur est configuré avec une adresse IP publique x.x.x.6 avec uniquement l’autorisation des connexions sortantes et aucun entrant. Un serveur est configuré pour obtenir des connexions Web (le port 80 ne bloque que tous les autres avec iptables) à partir de l’adresse IP publique x.x.x.7. Je pourrais soit configurer cela avec l'une des méthodes, soit directement assigné, soit avec NAT pour obtenir la deuxième adresse IP sur le serveur. D'après ce que je vois, il y a 2 "portes de bâtiment" (IP publics) dans les deux cas. Il n'y a également qu'une "porte de bureau" dans les deux cas avec la même sécurité. - Matt
@joeqwerty Avec la deuxième configuration, existe-t-il réellement un moyen de tester n'importe quelle autre "porte de bureau" (machines avec uniquement des adresses IP privées)? Je veux juste connaître les raisons pour lesquelles il est moins sécurisé. Jusqu'à présent, la seule chose que j'ai vue est que les machines avec des adresses IP publiques pourraient être piratées, mais je ne vois pas en quoi laisser l'accès à ces machines via NAT est différent. - Matt
Il est moins sécurisé car votre commutateur est connecté directement à Internet (via le commutateur ISP), contournant ainsi la sécurité fournie par le routeur. Une simple analyse ARP sur ce commutateur indiquerait à un pirate quelles adresses IP sont utilisées, à partir de quel point ils apporteraient des outils plus sophistiqués pouvant être utilisés sur votre réseau. Maintenant, il se peut que le FAI ait la sécurité à son commutateur et à l'extrémité distante de la connexion, mais je n'aurais jamais confié la sécurité de mon réseau à mon FAI. - joeqwerty


Cela signifie simplement que vous ne pouvez pas également utiliser le routeur comme pare-feu et que vous ne pouvez pas isoler les machines qui se connectent uniquement au réseau public des machines qui se connectent uniquement au réseau privé. La plupart des réseaux domestiques classiques ne font de toute façon aucune de ces choses. Donc, si vous construisez un réseau domestique typique, cela ne fera aucune différence.


0
2017-10-07 22:38



Je ne suis pas d'accord. La plupart des réseaux domestiques classiques ne sont pas configurés de cette façon. Il existe très certainement un routeur / modem de quelque type que ce soit (ADSL, câble, etc.) assurant la sécurité (même très élémentaire) à l'entrée / la sortie du réseau (qui est le routeur / modem lui-même) avec tous les autres périphériques (ordinateurs , WAP, commutateurs) connectés du côté LAN, pas du côté WAN dudit routeur / modem. Je ne connais aucun routeur ou modem offrant un trafic en provenance du WAN sans entrave au réseau interne. - joeqwerty
@ joeqwerty: C'est vrai, mais ils ne le font pas pour assurer la sécurité. Ils le font car ils ne savent pas à quel périphérique transférer ce trafic. Ce n'est pas un comportement sur lequel vous pouvez compter pour assurer la sécurité. (En fait, de nombreuses personnes activent le protocole UPnP, qui supprime cette 'fonctionnalité'.) Il peut avoir le même comportement dans le routeur s'il le souhaite de toute façon. - David Schwartz