如何将受感染的机器安全地连接到我的网络?

如何将受感染的机器安全地连接到我的网络?

再会,

我经常在朋友的电脑上工作,他们怀疑电脑有病毒或其他恶意软件,我想知道当我需要上网时,将他们连接到我的网络的最佳方式是什么。我的家庭网络就是将简单的电缆调制解调器连接到 Linksys 路由器,再连接到台式机。我想将这台恶意机器连接到路由器以上网,但显然我不想冒险感染自己的机器。

过去,当需要连接恶意机器时,我只是简单地关闭自己的机器,但这并不总是方便。

我的问题是,如果我用菊花链连接两个路由器 - 换句话说,将一个单独的路由器挂在现有路由器上,并将恶意机器连接到该路由器 - 这样是否可以保留两台机器,或者说两个网络是否足够沙盒化?或者有更好的方法吗?

谢谢!

答案1

您想要创建一个“DMZ”,即非军事区,将不受信任的主机放在其中,这就是您所建议的,只是您的顺序错了。

Cable modem <-- router <-- DMZ <-- router <-- trusted network.

确保将访问者连接到您自己的机器所在的路由器的“外部”,也就是说,您的家庭网络使用的路由器上的 WAN 端口应连接到路由器上的“内部”交换机端口,该路由器的 WAN 端口连接到电缆调制解调器。

即您的内部路由器和访问者都连接到连接到电缆的路由器,您的桌面距离互联网最“远”。

答案2

大多数 SOHO 路由器上的 DMZ 端口/设置不会将患病机器与正常机器隔离。DMZ 主机将获得相同的专用网络分配,因此将与其他主机位于相同的第 2 层域中。但是,使用第二个路由器可以防止广播域重叠。为了获得额外的保护,请在正常路由器上阻止来自受感染路由器的 WAN IP 的所有流量。

答案3

首先,普通的有线路由器在其 WAN 端口上使用 PPPoE,而不是 IP,因此,如果不购买特殊路由器,您是否可以像这样链接两个路由器。

如果您有第二个路由器,您可能希望将其放置在您的桌面和 Linksys 之间,以充当网络不安全部分和安全部分之间的防火墙。

最好使用装有两块网卡的旧 PC。最好是 3 块:

  1. 连接到互联网路由器
  2. 已连接到您的桌面
  3. 连接到恶意计算机

然后,您可以在所选的操作系统中设置 NAT 和防火墙,以隔离两个网络。或者,您可以在旧 PC 上安装预置的防火墙产品,例如 Smoothwall、IPCop 或 MonoWall 等。

                       +--------+
Desktop -----*s*------>|Nic 2   |
                       |        |
                       |   Nic 1|---------> Linksys
Rogue -------*s*------>|Nic 3   |
                       +--------+

例如,在 IPCop 中,接口将分配如下:

  1. 红色——不受信任的互联网连接
  2. GREEN——值得信赖的内部网络
  3. 蓝色 - 无法访问绿色网络但可以访问红色网络的附加网络。

根据网卡的功能,您可能需要使用交叉电缆或在配置中在图中 * s * 点处插入交换机,以将计算机连接到防火墙机器。如果您使用交换机,请确保使用2 个独立开关或者一个好的交换机,可以将端口隔离到单独的 VLAN 中,以防止绿色网络和蓝色网络相互访问的可能性。

相关内容