Quais são os problemas de segurança na criação de um firewall entre duas sub-redes?

2

Pelo que entendi, os hosts em sub-redes diferentes não podem se comunicar uns com os outros, a menos que haja um roteador em algum lugar nas duas sub-redes que encaminha o tráfego entre eles.

Eu tenho duas sub-redes em uma rede, digamos: 192.168.0.0/24 e 192.168.1.0/24. Eu quero criar uma rota de firewall entre eles, usando uma caixa de linux conectada a ambas as sub-redes. O firewall seria implementado no iptables.

Todos os hosts conectados à rede serão confiáveis e os usuários não terão direitos de administrador para alterar sua configuração de rede (ou seja, apenas conectar-se à outra sub-rede).

Supondo tudo o que eu disse acima não é um absurdo completo, quais são as maneiras possíveis em que um usuário conectado a uma sub-rede poderia ignorar o firewall e obter acesso à outra sub-rede?

Os óbvios que me ocorrem são simplesmente conectar um host não confiável.

Para esclarecer: O que eu estou tentando é criar uma solução de firewall personalizada (não na prateleira). Ele deve ser integrado a uma solução existente, que já é executada em uma caixa linux, para que o lado das coisas seja corrigido.

O firewall permitiria a definição de zonas, com base em NICs físicas ou VLANs.

Parece-me que as zonas físicas baseadas na LAN são suscetíveis apenas a alguém que se conecte fisicamente à rede e que não devam fazê-lo. Criptografia à parte, isso se resume a segurança física nesse ponto. Supondo que você não configurou mal um switch em algum lugar para expor um endpoint que transporta tráfego dot1Q, ou para permitir um ataque VLAN hopping, as zonas baseadas em VLAN são essencialmente as mesmas.

A raiz da minha pergunta é se as zonas baseadas em sub-rede (em execução no mesmo hardware físico) podem ser adicionadas à lista de coisas que podem ser possivelmente protegidas por firewall. Isso dependeria, é claro, de todos os hosts conectados serem "confiáveis" e de todos os usuários (aos quais o firewall se aplica, pelo menos) não terem direitos administrativos para mexer nas configurações de rede.

    
por Jamie Cockburn 06.02.2014 / 13:26

2 respostas

1

Como administrador de rede, responderei em duas partes:

Primeiro, se você tem dispositivos rodando em duas sub-redes diferentes na mesma LAN lógica / física, então você terá essencialmente zero segurança nessa LAN entre sub-redes. Enquanto você pensa que os dispositivos não poderão acessar nada, você não pode ter certeza de que não terá um dispositivo invasor. Por causa disso, vou assumir que esse não é o caso. Depois disso, é bastante fácil configurar uma caixa do Linux com o IPTables como um roteador. Ele é bastante detalhado na configuração da caixa Linux e alguns dos detalhes podem depender exatamente de qual distro você está executando, mas a caixa básica é de duas placas de rede, uma conectada a cada rede, seguida de algum software que fará o roteamento. encontrar, mesmo incluído em algumas distros), seguido por sua configuração IPtables. Conecte a NIC1 em 192.168.0.0/24 e NIC2 em 192.168.1.0/24 e você terá uma ponte entre as duas sub-redes para o tráfego que precisa viajar entre elas.

Aqui está a segunda parte: Seria muito mais simples comprar um roteador (mesmo que usado) de um fabricante respeitável do que seria para você montar e configurar essa caixa linux para fazer a mesma tarefa. A maioria dos roteadores reais é capaz de realizar ACLs, o que é realmente o que o IPtables faria na maior parte da configuração, e alguns roteadores são capazes de executar Firewalls baseados na Zona com inspeção de pacotes. Um Cisco 1841 usado não o ajustaria muito, e seria tão legítimo quanto o combo de RouterWall do Linux que você está perguntando. Um pouco de google-fu e provavelmente você pode encontrar comandos suficientes da Cisco CLI para endireitá-lo rapidamente e obter essa caixa e fazer o que você precisa em menos de vinte minutos. Eu não sou contra alguém que faz algo do jeito "difícil" só por diversão ... mas a menos que esse seja seu objetivo, parece-me que você está se esforçando muito para consertar um problema com uma resposta que é mais complicada que o problema em si.

    
por 07.02.2014 / 07:05
0

Eu não posso falar pelo Linux, mas tenho uma pergunta mais simples, o que você está tentando realizar aqui? (Eu vou adivinhar sem rumo e ver se eu posso chegar perto, mas você deve esclarecer em sua pergunta.)

Parece que você está tentando conectar duas sub-redes e permitir tráfego. Ok, tudo bem, mas se as sub-redes forem fisicamente separadas, você não pode simplesmente usar a outra sub-rede se a interface de roteamento não existir nessa sub-rede. Ou seja, mesmo que você mude o seu IP para 192.168.0.223 na sub-rede 192.168.1.x, ele não poderá rotear para o seu gateway (caixa do Linux) porque está simplesmente na sub-rede incorreta.

Normalmente, as sub-redes são fisicamente ou logicamente separadas. Ou porque estão em hardware diferente ou usando VLANs ou alguma outra segregação lógica. Significado, mesmo se você tiver um IP de uma sub-rede, não funcionará em outro, porque os dispositivos usados para rotear o tráfego dessa sub-rede não são p

No que diz respeito a hosts "confiáveis", qualquer um que possa conectar algo à sua rede não seria confiável, mas a menos que você esteja autenticando o cliente (IPsec / Certificate / etc) é possível alterar o endereço MAC e IP apenas sobre qualquer adaptador de rede. Então você não pode simplesmente "confiar" neles dessa maneira. Como não sei o que você precisa, não posso comentar sobre isso. Existem métodos que estão disponíveis na troca de hardware como o 802.1X, que pode ser o que você está procurando.

    
por 07.02.2014 / 03:37