ネットワーク内のネットワーク

Question 1

ネットワーク内にネットワークがあるという概念は実際には存在しません。存在するのは、ネットワーク間に制限を設けて相互接続したネットワークと、セグメントに細分化されたネットワークです。

VLAN は、単一の物理ネットワークを同じスイッチングインフラストラクチャ内の複数のネットワークに分離するメカニズムです。異なるネットワーク間のトラフィックは、ほとんどの場合、分離されているか、スイッチを経由するように強制されます。

提案されているようにルーターをデイジーチェーン接続すると、最も内側のネットワークの背後にあるデバイスに高度な分離がもたらされますが、潜在的な「二重 NAT」問題、つまり「非ルーティング」(RFC1918 アドレスとして正しく知られている) アドレスを 2 番目の非ルーティングアドレスに変換するという問題が伴います。これは、一部の複雑なプロトコルで問題を引き起こす可能性があり、デバッグが困難になることもありますが、実際には機能することがよくあります。各ルーターの LAN ポートの IP 範囲が異なることを確認する必要があります。たとえば、外側のルーターがより一般的な 192.168 範囲を使用している場合は、内側のルーターを 10.0.0 範囲の IP アドレスを使用するように変更します。

Answer

ネットワーク内にネットワークがあるという概念は実際には存在しません。存在するのは、ネットワーク間に制限を設けて相互接続したネットワークと、セグメントに細分化されたネットワークです。

VLAN は、単一の物理ネットワークを同じスイッチングインフラストラクチャ内の複数のネットワークに分離するメカニズムです。異なるネットワーク間のトラフィックは、ほとんどの場合、分離されているか、スイッチを経由するように強制されます。

提案されているようにルーターをデイジーチェーン接続すると、最も内側のネットワークの背後にあるデバイスに高度な分離がもたらされますが、潜在的な「二重 NAT」問題、つまり「非ルーティング」(RFC1918 アドレスとして正しく知られている) アドレスを 2 番目の非ルーティングアドレスに変換するという問題が伴います。これは、一部の複雑なプロトコルで問題を引き起こす可能性があり、デバッグが困難になることもありますが、実際には機能することがよくあります。各ルーターの LAN ポートの IP 範囲が異なることを確認する必要があります。たとえば、外側のルーターがより一般的な 192.168 範囲を使用している場合は、内側のルーターを 10.0.0 範囲の IP アドレスを使用するように変更します。

Question 2

セキュリティの向上にはつながらないネットワークに関する質問ではなく、セキュリティに関する基本的な質問に答えます。その理由は、サーバーがインターネット上で見える場合、この接続がいくつのルーターやネットワークを通過しても、サーバーは攻撃される可能性があるからです。

サーバーを仮想マシンで実行することで、より優れた保護が得られます。この方法では、攻撃者が成功してもせいぜいゲスト VM が破壊されるだけで、ホストコンピューターが破壊されることはありません。VM のコピーを保持しておけば、感染した場合にはそれを削除して正常なコピーに置き換えることができます。

VM はローカルネットワーク上で物理マシンと区別がつかず表示され、ホストと同じようにゲームポートを VM にポート転送できます。

Answer

セキュリティの向上にはつながらないネットワークに関する質問ではなく、セキュリティに関する基本的な質問に答えます。その理由は、サーバーがインターネット上で見える場合、この接続がいくつのルーターやネットワークを通過しても、サーバーは攻撃される可能性があるからです。

サーバーを仮想マシンで実行することで、より優れた保護が得られます。この方法では、攻撃者が成功してもせいぜいゲスト VM が破壊されるだけで、ホストコンピューターが破壊されることはありません。VM のコピーを保持しておけば、感染した場合にはそれを削除して正常なコピーに置き換えることができます。

VM はローカルネットワーク上で物理マシンと区別がつかず表示され、ホストと同じようにゲームポートを VM にポート転送できます。

Question 3

サーバーを非武装地帯ゾーン。

コンピュータネットワークにおいて、DMZ (非武装地帯) は、境界ネットワークまたはスクリーンサブネットワークとも呼ばれ、内部のローカルエリアネットワーク (LAN) を他の信頼できないネットワーク (通常はインターネット) から分離する物理または論理サブネットです。外部向けのサーバー、リソース、サービスは DMZ 内にあります。そのため、これらにはインターネットからアクセスできますが、内部 LAN の残りの部分にはアクセスできません。

どうやってするの：

DMZ を含むネットワークを設計する方法はさまざまです。基本的な 2 つの方法は、ファイアウォールを 1 つまたは 2 つ使用することです。少なくとも 3 つのネットワークインターフェイスを備えた単一のファイアウォールを使用して、DMZ を含むネットワークアーキテクチャを作成できます。外部ネットワークは、インターネットサービスプロバイダー (ISP) 接続を介してパブリックインターネットを最初のネットワークインターフェイス上のファイアウォールに接続することによって形成され、内部ネットワークは 2 番目のネットワークインターフェイスから形成され、DMZ ネットワーク自体は 3 番目のネットワークインターフェイスに接続されます。

DMZ ネットワークを分離するには、ファイアウォールルールを使用します。正確な構成はさまざまですが、この場合、DMZ インターフェイス (ネットワーク) から内部ネットワーク (ネットワークインターフェイス) に向かうすべてのトラフィックをブロックする必要があります。したがって、ファイアウォール機能を備えたデバイスは必須ですが、管理対象スイッチがある場合は ACL を使用してこれを行うこともできます。

私が考えているのは、古いネットギアルーターを使用して、WAN ポート経由でネットワークに接続し、別の IP 範囲で動作するように設定するということです。

このアイデアはうまくいくかもしれませんが、それは内部ネットワークをNetgearルーターの背後に置き、そうすることで「IPマスカレード" またはNAT

IP マスカレードとは、通常はプライベート IP アドレスで構成される IP アドレス空間全体を、通常はパブリックアドレス空間にある別の単一の IP アドレスの背後に隠す技術です。隠されたアドレスは、発信 IP パケットの送信元アドレスとして単一の (パブリック) IP アドレスに変更されるため、パケットは隠されたホストからではなく、ルーティングデバイス自体から発信されたように見えます。IPv4 アドレス空間を節約するこの技術が普及したため、NAT という用語は IP マスカレードと実質的に同義になりました。

ネットワークアドレス変換 (NAT) は、ローカルホストにインターネットアクセスを提供するために、1 つ以上のローカル IP アドレスを 1 つ以上のグローバル IP アドレスに変換したり、その逆を行ったりするプロセスです。また、ポート番号の変換も行います。つまり、宛先にルーティングされるパケット内で、ホストのポート番号を別のポート番号でマスクします。次に、NAT テーブルに IP アドレスとポート番号の対応するエントリを作成します。NAT は一般に、ルーターまたはファイアウォールで動作します。

Answer