我有一个带 5 个端口的调制解调器。每个端口都从网络获取一个静态 IP 地址。基本上,如果我从家里 ping 其中一个静态 IP 地址,我就会直接 ping 其中一个端口。
第一个端口上有我们公司的路由器/防火墙,后面跟着一个交换机,整个公司都通过同一个公共 IP 访问互联网。
如果将调制解调器的第二个端口直接连接到交换机,会发生什么情况?
我的预期是,由于它具有不同的子网,因此不会发生任何事情,并且可以通过简单地更改局域网适配器设置从单个工作站绕过服务器。
我这样说对吗?它安全吗?还是会造成安全漏洞?
我需要记录的是,某些计算机在某些情况下应该能够绕过防火墙。
谢谢!
答案1
您的图表对于澄清这个问题有很大帮助。
你做的很好当且仅当您的大交换机是易于管理的,并且您可以配置 VLAN 来强制将路由器防火墙外部的流量与路由器防火墙内部的流量分离。
当内部计算机需要暂时移至外部 LAN 时,您可以更改其适配器设置和告诉交换机将其端口从内部 VLAN 中取出并将其添加到外部 VLAN。
否则,内部人员迟早会注意到他们可以在外部网络上为自己设置一个接口别名并完全绕过防火墙,或者已经破坏其中一个外部设备的人会注意到,如果他们在内部网络上为自己设置一个别名,他们就绕过了防火墙,并且您的企业 LAN 就可以由他们使用了。
如果你这样做是为了故意绕过这种分离,那么你就是在巨大的风险。
编辑:如果交换机不强制分离,您究竟为什么认为一台计算机一次只能位于两个 LAN 中的一个上?假设我是一名攻击者,并且已经收买了当前连接到调制解调器(本身就是一个交换机)的其中一台机器。我们将该机器称为 ALF。
我现在为 ALF 提供了一个接口别名,其中包含适合内部网络的地址(我可以通过观察 ALF 网卡上处于混杂模式的 ARP 广播轻松推断出其存在和寻址)。现在我可以直接 PING - 从而攻击 - 服务器,而防火墙永远不会看到我的流量。
我再说一遍,这样就更清楚了:如果你用一根电缆绕过防火墙连接到主交换机,并且没有采取任何措施使电缆中的流量远离主网络,那么你就死定了。
答案2
您无法从 Web 获取 IP 地址。
如果将两个 DHCP 服务器连接到同一交换机,事情可能会开始以意想不到的方式发展。有几种方法可以解决这个问题,但这些方法很容易出错,所以为什么不使用更安全的方法,将一台计算机直接连接到所需的交换机端口,而不通过交换机呢?
还有其他解决方案,但它们需要托管交换机或对 ISP 发送的 DHCP 回复进行一些控制:
- 在交换机上过滤 DHCP 数据包
- 配置 DHCP 服务器仅响应某些 MAC 地址
- 禁用 DHCP 服务器向调制解调器发送答复,并在您想要通过调制解调器直接通信的计算机上使用静态 IP 地址。
- 使用 VLAN