1 Computer, 2 Netzwerkkarten, 2 öffentliche statische IP-Adressen

1

Mein Desktop-Computer verfügt über zwei Netzwerkkarten. Ich benutze eines für meine persönlichen Internetbedürfnisse und plane, das andere etwas unkonventionell einzusetzen. Ich werde einen SOCKS / VPN-Server auf einer virtuellen Maschine erstellen, ausschließlich mit der Ersatznetzwerk-NIC verwenden und ihm eine eigene öffentliche statische IP-Adresse zuweisen. Ich habe derzeit ein Gateway "Router" und ein Modem als diskrete Komponenten.

Es gibt zwei Bereiche dieses Plans, die mir immer noch ein Rätsel sind.

  1. Ich kann den VM-Datenverkehr zu einer der NICs isolieren. Wie kann ich den Datenverkehr der Hostmaschine zu der anderen Netzwerkkarte isolieren?

  2. Was ist der sicherste und billigste Weg, dies einzurichten?

Wenn ich es verstehe, könnte ich einen Router bekommen, der mit dd-wrt oder OpenWrt flashbar ist, was mir erlaubt, 1: 1-NAT zu verwenden und beide IPs öffentlich zugänglich zu machen. Ich könnte dann mein vorhandenes Gateway zwischen die Netzwerkkarte der Hostmaschine und den Router stellen, um eine zusätzliche Sicherheitsstufe zu erhalten. Da die VM ernsthafter verwendet wird, ist wahrscheinlich auch eine Hardware-Sicherheitsschicht im Router erforderlich.

Alternativ könnte ich einen Switch und ein anderes Gateway bekommen. Ich habe noch keinen Schalter gekauft und bin mir nicht sicher, wonach ich suchen soll.

Vermisse ich andere Möglichkeiten?

Asanak
quelle
Haben Sie überhaupt mehrere öffentliche (wie im Internet routbare) IPs?
Daniel B
Im Moment nicht, aber mein ISP bietet sie an. Ich könnte sie mit einem 5-minütigen Anruf haben. Ich bin auf der Suche nach Hilfe bei meinen Fragen. Ich habe keinen Zweifel an den Elementen meines Beitrags, die ich nicht Fragen über. Jemand wird sicherlich vorschlagen, dass ich keine zwei öffentlichen IP-Adressen benötige. Lassen Sie mich das auch abwenden.
Asanak
Herzlich willkommen. Fragen Was ist der sicherste und billigste Weg? lädt Meinungen ein, die nicht dem Thema entsprechen. Außerdem wäre es hilfreich, wenn Sie erläutern, was Sie mit der VM vorhaben.
Twisty Impersonator
Welcher Teil ist außerhalb des Themas? Sicherheit im Netzwerk oder Kosten für Netzwerkkomponenten? Ich möchte einen SOCKS / VPN-Server auf der VM hosten, dessen IP öffentlich verfügbar ist und sich von der IP unterscheidet, die ich für mein persönliches Internetting verwende. Das ist alles im ursprünglichen Beitrag, und ich sehe nicht, dass mehr Detail benötigt wird, um meine Fragen zu beantworten. Wenn ich mich irre, zeig mir bitte wie. Weitere Einzelheiten könnten anderen dabei helfen, Dinge zu behandeln, nach denen ich nicht frage, aber das ist für mich nicht relevant.
Asanak

Antworten:

0

Sie können Roothost einfach isolieren, indem Sie L3 auf der Roothost-Schnittstelle für diese NIC nicht aktivieren / konfigurieren (vorausgesetzt, der Hypervisor bietet der gebündelten L2-Schnittstelle ein Netzwerk für die VM). Dies sorgt für die Trennung des Datenverkehrs und grundlegende Sicherheit (dh, Sie möchten nicht den Server der VM aussetzen).

Was sind Ihre strengsten Anforderungen / Sorgen in Bezug auf härtere Sicherheit?

Von überall bis zur VM wird dies immer eine skizzenhafte Sache sein.

Zwischen VM und Netzwerk benötigen Sie nicht wirklich mehr Hardware. Sie können eine andere VM mit OpenWrt oder einem anderen sicherheitsfähigen Router bereitstellen und dann den Datenverkehr durchleiten. Verbinden Sie dann das externe, überbrückte L2 mit der Router-VM und verbinden Sie die Ziel-VM mit der Router-VM über einen separaten virtuellen Switch.

Aber warum sollten Sie sogar eine externe Firewall in Betracht ziehen, wenn Sie eine interne Firewall auf dem Betriebssystem in der Ziel-VM verwenden?

Aus Sicherheitsgründen würde ich kein 1: 1-NAT verwenden, sondern nur die erforderlichen Ports offenlegen / weiterleiten. Bietet Ihnen mehr Kontrolle und bietet eine zusätzliche Sicherheits- / Komplikationsstufe gegen Angreifer.

Michał Sacharewicz
quelle
Ich werde das Problem der L2 / L3-Schnittstelle untersuchen - das sind neue Informationen für mich und ich danke Ihnen. Ich kann meine eingebildeten Sicherheitsbedürfnisse übertreffen. Ich weiß, dass die Weiterleitung von Ports sicherer ist, aber ich möchte mehr als eine IP. Das ist kein Aspekt des Plans, den ich ändern möchte.
Asanak
Die selektive Weiterleitung hindert Sie jedoch nicht daran, zwei IP-Adressen zu verwenden. Ich bin davon ausgegangen, dass (a) da Sie überhaupt über NAT sprechen, dann beide IP-Adressen dem Router zugewiesen werden und (b) da Sie in der Lage sind, 1: 1-NAT von einer einzelnen öffentlichen IP-Adresse zu einer einzelnen lokalen IP-Adresse durchzuführen Ihr Router unterstützt NAT-Übersetzungsregeln, die von der Zieladresse abhängen. Wenn dies richtig ist, können Sie separate selektive NAT-Regeln für beide öffentlichen Adressen definieren, d. nat match dest ip public1 port 80,443 target ip roothost und nat match dest ip public2 port 80,443,1194 target ip vm
Michał Sacharewicz
Okay, ja, ich sehe, dass das Problem der Portweiterleitung bei einer zweiten öffentlichen IP weiterhin relevant ist. Ich spreche jedoch nicht von einem Web-Proxy. Ich bin nicht sicher, ob ich die vom Server der VM verwendbaren Ports einschränken möchte. In jedem Fall kann ich das später angehen, sobald ich mich auf die notwendige Hardware festgelegt habe. Es scheint, als würde ein einzelner Router, den ich mit Software von Drittanbietern flashen kann, ausreichen. Es sieht auch so aus, als würde der Versuch, etwas mit der L3-Schnittstelle zu tun, meine Fähigkeiten übersteigen. Das Isolieren der beiden NICs auf dem Host scheint ein unüberwindliches Problem zu sein, daher muss ich auf einen zweiten Computer umsteigen.
Asanak
Von welcher Umgebung sprechen wir? (Betriebssystem und Virtualisierung)
Michał Sacharewicz
Die Umgebung ist Windows. Die VM ist unbestimmt. Wenn ich keine speziellen Fähigkeiten benötigte, würde ich VirtualPC für Windows und den Windows XP-Modus verwenden, da diese für mich kostenlos wären. Aber ich war flexibel bei VM.
Asanak
0

Wenn der ISP die zweite Adresse so konfiguriert, dass sie an Ihre Haupt-IP-Adresse "geleitet" wird (oder wenn Ihr Internet-Uplink vom Router eine Punkt-zu-Punkt-Technologie wie PPPoE ist):

  • Sie können dem Router die IP-Adresse zuweisen und DNAT für die interne Adresse des Servers ausführen.

  • Wenn der Router benutzerdefinierte statische Routen unterstützt, ist 1: 1-NAT unbrauchbar. Sie können eine statische Route für die zweite IP-Adresse entweder zur LAN-Adresse des Servers oder zur LAN-Schnittstelle selbst hinzufügen und diese Adresse dann als / 32 zuweisen der Server direkt.

Wenn Ihr Internet-Uplink vom Router aus Standard-Ethernet (und nicht PPPoE) besteht und Wenn der ISP die 2. Adresse als "On-Link" konfiguriert:

  • Sie können einen generischen Switch vor dem WAN-Port des Routers platzieren und den Server daran anschließen. Ein nicht verwalteter Switch reicht aus. In diesem Fall müssten Sie die eigene Firewall des Servers verwenden sehr vorsichtig damit, nicht versehentlich z. iLO / iDRAC zum Internet.

  • Sie können dem Router die IP-Adresse zuweisen und DNAT für die interne Adresse des Servers durchführen, wie oben beschrieben.

  • Sie können die IP-Adresse direkt dem Server zuweisen, dann Proxy-ARP aktivieren und eine statische Route für diese Adresse auf dem Router hinzufügen (wie oben, außer für Proxy-ARP).

In jedem Fall kann das Port-Whitelisting über die Firewall entweder auf dem Router oder auf dem Server durchgeführt werden, unabhängig von den NAT- oder Routing-Modi.

grawity
quelle