Netzwerk im Netzwerk

Question 1

Das Konzept eines Netzwerks innerhalb eines Netzwerks innerhalb eines Netzwerks existiert eigentlich nicht. Was es gibt, sind miteinander verbundene Netzwerke mit Einschränkungen zwischen ihnen und Netzwerke, die in Segmente unterteilt sind.

VLANs sind ein Mechanismus zum Aufteilen eines einzelnen physischen Netzwerks in mehrere Netzwerke in derselben Switch-Infrastruktur – wobei der Datenverkehr zwischen den verschiedenen Netzwerken größtenteils getrennt gehalten oder über einen Switch geleitet wird.

Die von Ihnen vorgeschlagene Daisy-Chain-Verkettung von Routern bietet ein höheres Maß an Isolierung für die Geräte hinter dem innersten Netzwerk, allerdings auf Kosten potenzieller „Double-NAT“-Probleme – d. h. die Übersetzung „nicht gerouteter“ (korrekt als RFC1918-Adressen bezeichnet) Adressen in eine zweite nicht geroutete Adresse. Dies kann bei einigen komplexen Protokollen zu Problemen führen, ist schwierig zu debuggen, funktioniert aber in der Praxis oft. Sie müssen sicherstellen, dass die IP-Bereiche der LAN-Ports der einzelnen Router unterschiedlich sind. Ändern Sie beispielsweise den inneren Router so, dass er IP-Adressen im Bereich 10.0.0 verwendet, wenn der äußere den gebräuchlicheren Bereich 192.168 verwendet.

Answer

Das Konzept eines Netzwerks innerhalb eines Netzwerks innerhalb eines Netzwerks existiert eigentlich nicht. Was es gibt, sind miteinander verbundene Netzwerke mit Einschränkungen zwischen ihnen und Netzwerke, die in Segmente unterteilt sind.

VLANs sind ein Mechanismus zum Aufteilen eines einzelnen physischen Netzwerks in mehrere Netzwerke in derselben Switch-Infrastruktur – wobei der Datenverkehr zwischen den verschiedenen Netzwerken größtenteils getrennt gehalten oder über einen Switch geleitet wird.

Die von Ihnen vorgeschlagene Daisy-Chain-Verkettung von Routern bietet ein höheres Maß an Isolierung für die Geräte hinter dem innersten Netzwerk, allerdings auf Kosten potenzieller „Double-NAT“-Probleme – d. h. die Übersetzung „nicht gerouteter“ (korrekt als RFC1918-Adressen bezeichnet) Adressen in eine zweite nicht geroutete Adresse. Dies kann bei einigen komplexen Protokollen zu Problemen führen, ist schwierig zu debuggen, funktioniert aber in der Praxis oft. Sie müssen sicherstellen, dass die IP-Bereiche der LAN-Ports der einzelnen Router unterschiedlich sind. Ändern Sie beispielsweise den inneren Router so, dass er IP-Adressen im Bereich 10.0.0 verwendet, wenn der äußere den gebräuchlicheren Bereich 192.168 verwendet.

Question 2

Ich werde die grundlegende Frage zur Sicherheit beantworten und nicht die Netzwerkfrage, die die Sicherheit nicht verbessern wird. Der Grund dafür ist, dass Ihr Server angreifbar ist, wenn er im Internet sichtbar ist, unabhängig davon, wie viele Router oder Netzwerke diese Verbindung durchläuft.

Sie sind wesentlich besser geschützt, wenn Sie Ihren Server in einer virtuellen Maschine ausführen. Auf diese Weise kann ein erfolgreicher Angreifer höchstens die Gast-VM beschädigen, nicht aber den Host-Computer. Wenn Sie eine Kopie der VM aufbewahren, kann diese im Falle einer Infektion gelöscht und durch die fehlerfreie Kopie ersetzt werden.

Die VM ist im lokalen Netzwerk sichtbar und von einer physischen Maschine nicht zu unterscheiden. Außerdem können Sie die Spiel-Ports auf dieselbe Weise an sie weiterleiten, wie Sie es jetzt beim Host tun.

Answer

Ich werde die grundlegende Frage zur Sicherheit beantworten und nicht die Netzwerkfrage, die die Sicherheit nicht verbessern wird. Der Grund dafür ist, dass Ihr Server angreifbar ist, wenn er im Internet sichtbar ist, unabhängig davon, wie viele Router oder Netzwerke diese Verbindung durchläuft.

Sie sind wesentlich besser geschützt, wenn Sie Ihren Server in einer virtuellen Maschine ausführen. Auf diese Weise kann ein erfolgreicher Angreifer höchstens die Gast-VM beschädigen, nicht aber den Host-Computer. Wenn Sie eine Kopie der VM aufbewahren, kann diese im Falle einer Infektion gelöscht und durch die fehlerfreie Kopie ersetzt werden.

Die VM ist im lokalen Netzwerk sichtbar und von einer physischen Maschine nicht zu unterscheiden. Außerdem können Sie die Spiel-Ports auf dieselbe Weise an sie weiterleiten, wie Sie es jetzt beim Host tun.

Question 3

Sie möchten Ihren Server in einemDMZZone.

In Computernetzwerken ist eine DMZ (demilitarisierte Zone), manchmal auch Perimeternetzwerk oder abgeschirmtes Subnetz genannt, ein physisches oder logisches Subnetz, das ein internes lokales Netzwerk (LAN) von anderen nicht vertrauenswürdigen Netzwerken, normalerweise dem Internet, trennt. Nach außen gerichtete Server, Ressourcen und Dienste befinden sich in der DMZ. Sie sind also vom Internet aus zugänglich, der Rest des internen LAN bleibt jedoch unerreichbar.

Wie es geht:

Es gibt verschiedene Möglichkeiten, ein Netzwerk mit einer DMZ zu entwerfen. Die beiden grundlegenden Methoden bestehen darin, entweder eine oder zwei Firewalls zu verwenden. Eine einzelne Firewall mit mindestens drei Netzwerkschnittstellen kann verwendet werden, um eine Netzwerkarchitektur mit einer DMZ zu erstellen. Das externe Netzwerk wird gebildet, indem das öffentliche Internet – über eine Verbindung zum Internetdienstanbieter (ISP) – mit der Firewall an der ersten Netzwerkschnittstelle verbunden wird, das interne Netzwerk wird aus der zweiten Netzwerkschnittstelle gebildet und das DMZ-Netzwerk selbst wird mit der dritten Netzwerkschnittstelle verbunden.

Sie verwenden Firewall-Regeln, um das DMZ-Netzwerk zu isolieren. Die genaue Konfiguration kann variieren, aber in Ihrem Fall müssen Sie lediglich den gesamten Datenverkehr blockieren, der von der DMZ-Schnittstelle (Netzwerk) zu Ihrem internen Netzwerk (Netzwerkschnittstelle) kommt. Daher ist ein Gerät mit Firewall-Funktionen ein Muss. Wenn Sie jedoch einen verwalteten Switch herumliegen haben, können Sie dies auch mit ACLs tun.

Ich denke daran, einen alten Netgear-Router zu verwenden, ihn über den WAN-Port mit meinem Netzwerk zu verbinden und ihn so einzustellen, dass er in einem anderen IP-Bereich läuft.

Diese Idee von Ihnen könnte funktionieren, aber nur, wenn Sie Ihr internes Netzwerk hinter diesen Netgear-Router stellen und es so hinter dem "IP-Maskierung" oderNAT

IP-Masquerading ist eine Technik, bei der ein ganzer IP-Adressraum, der normalerweise aus privaten IP-Adressen besteht, hinter einer einzigen IP-Adresse in einem anderen, normalerweise öffentlichen Adressraum verborgen wird. Die verborgenen Adressen werden in eine einzige (öffentliche) IP-Adresse als Quelladresse der ausgehenden IP-Pakete geändert, sodass diese nicht vom verborgenen Host, sondern vom Routing-Gerät selbst zu stammen scheinen. Aufgrund der Beliebtheit dieser Technik zur Einsparung von IPv4-Adressraum ist der Begriff NAT praktisch zum Synonym für IP-Masquerading geworden.

Network Address Translation (NAT) ist ein Prozess, bei dem eine oder mehrere lokale IP-Adressen in eine oder mehrere globale IP-Adressen und umgekehrt übersetzt werden, um den lokalen Hosts Internetzugriff zu ermöglichen. Außerdem werden dabei Portnummern übersetzt, d. h. die Portnummer des Hosts wird in dem Paket, das an das Ziel weitergeleitet wird, durch eine andere Portnummer maskiert. Anschließend werden die entsprechenden Einträge von IP-Adresse und Portnummer in der NAT-Tabelle vorgenommen. NAT wird im Allgemeinen auf Routern oder Firewalls ausgeführt.

Answer

Sie möchten Ihren Server in einemDMZZone.

In Computernetzwerken ist eine DMZ (demilitarisierte Zone), manchmal auch Perimeternetzwerk oder abgeschirmtes Subnetz genannt, ein physisches oder logisches Subnetz, das ein internes lokales Netzwerk (LAN) von anderen nicht vertrauenswürdigen Netzwerken, normalerweise dem Internet, trennt. Nach außen gerichtete Server, Ressourcen und Dienste befinden sich in der DMZ. Sie sind also vom Internet aus zugänglich, der Rest des internen LAN bleibt jedoch unerreichbar.

Wie es geht:

Es gibt verschiedene Möglichkeiten, ein Netzwerk mit einer DMZ zu entwerfen. Die beiden grundlegenden Methoden bestehen darin, entweder eine oder zwei Firewalls zu verwenden. Eine einzelne Firewall mit mindestens drei Netzwerkschnittstellen kann verwendet werden, um eine Netzwerkarchitektur mit einer DMZ zu erstellen. Das externe Netzwerk wird gebildet, indem das öffentliche Internet – über eine Verbindung zum Internetdienstanbieter (ISP) – mit der Firewall an der ersten Netzwerkschnittstelle verbunden wird, das interne Netzwerk wird aus der zweiten Netzwerkschnittstelle gebildet und das DMZ-Netzwerk selbst wird mit der dritten Netzwerkschnittstelle verbunden.

Sie verwenden Firewall-Regeln, um das DMZ-Netzwerk zu isolieren. Die genaue Konfiguration kann variieren, aber in Ihrem Fall müssen Sie lediglich den gesamten Datenverkehr blockieren, der von der DMZ-Schnittstelle (Netzwerk) zu Ihrem internen Netzwerk (Netzwerkschnittstelle) kommt. Daher ist ein Gerät mit Firewall-Funktionen ein Muss. Wenn Sie jedoch einen verwalteten Switch herumliegen haben, können Sie dies auch mit ACLs tun.

Ich denke daran, einen alten Netgear-Router zu verwenden, ihn über den WAN-Port mit meinem Netzwerk zu verbinden und ihn so einzustellen, dass er in einem anderen IP-Bereich läuft.

Diese Idee von Ihnen könnte funktionieren, aber nur, wenn Sie Ihr internes Netzwerk hinter diesen Netgear-Router stellen und es so hinter dem "IP-Maskierung" oderNAT

IP-Masquerading ist eine Technik, bei der ein ganzer IP-Adressraum, der normalerweise aus privaten IP-Adressen besteht, hinter einer einzigen IP-Adresse in einem anderen, normalerweise öffentlichen Adressraum verborgen wird. Die verborgenen Adressen werden in eine einzige (öffentliche) IP-Adresse als Quelladresse der ausgehenden IP-Pakete geändert, sodass diese nicht vom verborgenen Host, sondern vom Routing-Gerät selbst zu stammen scheinen. Aufgrund der Beliebtheit dieser Technik zur Einsparung von IPv4-Adressraum ist der Begriff NAT praktisch zum Synonym für IP-Masquerading geworden.

Network Address Translation (NAT) ist ein Prozess, bei dem eine oder mehrere lokale IP-Adressen in eine oder mehrere globale IP-Adressen und umgekehrt übersetzt werden, um den lokalen Hosts Internetzugriff zu ermöglichen. Außerdem werden dabei Portnummern übersetzt, d. h. die Portnummer des Hosts wird in dem Paket, das an das Ziel weitergeleitet wird, durch eine andere Portnummer maskiert. Anschließend werden die entsprechenden Einträge von IP-Adresse und Portnummer in der NAT-Tabelle vorgenommen. NAT wird im Allgemeinen auf Routern oder Firewalls ausgeführt.

Netzwerk im Netzwerk

Antwort1

Antwort2

Antwort3

verwandte Informationen