네트워크 안의 네트워크

네트워크 안의 네트워크

Noob Alert부터 시작하겠습니다. 죄송합니다. 어딘가에서 배워야 합니다.

나는 단지 당신을 지나쳐가는 아이디어를 실행하고 싶었습니다.

나는 홈 서버를 설정했습니다. 이것은 내 친구들을 위해 몇 가지 게임을 호스팅하기 위한 것입니다. 전용 IP를 얻기 위해 내 서버를 고정 IP VPN 제공업체에 연결했는데, 모든 것이 잘 연결되어 있고 서버는 이 게시물과 관련 없는 문제가 중단될 때만 대부분의 시간 동안 실행됩니다.

내 네트워크에 대한 추가 보호 계층을 만들려고 생각 중입니다. 네트워크 내에 네트워크를 만드는 것이 가능합니까? VLAN이라는 것을 들었지만 이를 수행할 하드웨어가 없습니다.

내가 생각하는 것은 오래된 넷기어 라우터를 사용하고 WAN 포트를 통해 내 네트워크에 연결하고 다른 IP 범위에서 실행되도록 설정하는 것입니다.

이 방법이 효과가 있을까요? 제가 추가로 처리해야 할 사항이 있나요?

답변1

네트워크 내의 네트워크 내의 네트워크라는 개념은 실제로 존재하지 않습니다. 당신이 가지고 있는 것은 그들 사이에 제한이 있는 상호 연결된 네트워크와 세그먼트로 세분화된 네트워크입니다.

VLAN은 동일한 스위칭 인프라에서 단일 물리적 네트워크를 여러 네트워크로 분리하는 메커니즘입니다. 여기서 서로 다른 네트워크 간의 트래픽은 대부분 별도로 유지되거나 스위치를 통해 강제됩니다.

귀하가 제안한 데이지 체인 라우터는 잠재적인 "이중 NAT" 문제를 희생하면서 가장 내부 네트워크 뒤에 있는 장치에 더 높은 수준의 격리를 제공합니다. 즉, "라우팅되지 않은"(RFC1918 주소로 알려져 있음) 주소를 두 번째 비 주소로 변환합니다. 라우팅된 주소입니다. 이는 일부 복잡한 프로토콜에서 문제를 일으킬 수 있고 디버깅하기 어려울 수 있지만 실제로는 종종 작동합니다. 각 라우터 LAN 포트의 IP 범위가 서로 다른지 확인해야 합니다. 예를 들어 외부 라우터가 더 일반적인 192.168 범위를 사용하는 경우 IP 주소가 10.0.0 범위를 사용하도록 내부 라우터를 변경합니다.

답변2

보안을 향상시키지 못하는 네트워크 질문보다는 보안에 관한 기본 질문에 대답하겠습니다. 그 이유는 서버가 인터넷에 표시되면 이 연결이 통과하는 라우터나 네트워크의 수에 관계없이 공격받을 수 있기 때문입니다.

가상 머신에서 서버를 실행하면 훨씬 더 나은 보호를 받을 수 있습니다. 이런 방식으로 공격에 성공하면 게스트 VM은 손상되지만 호스트 컴퓨터는 손상되지 않습니다. VM의 복사본을 보관하면 감염 시 삭제되고 정상 복사본으로 교체될 수 있습니다.

VM은 로컬 네트워크에서 볼 수 있으며 실제 시스템과 구별할 수 없으며 현재 호스트에서와 마찬가지로 게임 포트로 포트 포워딩을 수행할 수 있습니다.

답변3

서버를DMZ존.

컴퓨터 네트워크에서 경계 네트워크 또는 스크린 서브네트워크라고도 하는 DMZ(비무장 지대)는 내부 근거리 통신망(LAN)을 신뢰할 수 없는 다른 네트워크(일반적으로 인터넷)와 분리하는 물리적 또는 논리적 서브넷입니다. 외부 서버, 리소스 및 서비스는 DMZ에 있습니다. 따라서 인터넷에서 액세스할 수 있지만 나머지 내부 LAN에는 연결할 수 없습니다.

방법:

DMZ를 사용하여 네트워크를 설계하는 방법에는 여러 가지가 있습니다. 두 가지 기본 방법은 하나 또는 두 개의 방화벽을 사용하는 것입니다. 최소 3개의 네트워크 인터페이스가 있는 단일 방화벽을 사용하여 DMZ를 포함하는 네트워크 아키텍처를 생성할 수 있습니다. 외부 네트워크는 인터넷 서비스 공급자(ISP) 연결을 통해 공용 인터넷을 첫 번째 네트워크 인터페이스의 방화벽에 연결하여 구성되고, 내부 네트워크는 두 번째 네트워크 인터페이스에서 구성되며 DMZ 네트워크 자체는 방화벽에 연결됩니다. 세 번째 네트워크 인터페이스.

방화벽 규칙을 활용하여 DMZ 네트워크를 격리합니다. 정확한 구성은 다양하지만 귀하의 경우 DMZ 인터페이스(네트워크)에서 내부 네트워크(네트워크 인터페이스)로 들어오는 모든 트래픽을 차단하면 됩니다. 따라서 방화벽 기능이 있는 장치를 갖추는 것이 필수입니다. 관리형 스위치가 있으면 ACL로도 가능합니다.


내가 생각하는 것은 오래된 넷기어 라우터를 사용하고 WAN 포트를 통해 내 네트워크에 연결하고 다른 IP 범위에서 실행되도록 설정하는 것입니다.

이러한 아이디어가 성공할 수 있지만 내부 네트워크를 Netgear 라우터 뒤에 두고 그렇게 함으로써 내부 네트워크를 "숨기기"하는 경우에만 가능합니다.IP 가장 무도회" 또는NAT

IP 매스커레이딩은 일반적으로 개인 IP 주소로 구성된 전체 IP 주소 공간을 다른 공용 주소 공간의 단일 IP 주소 뒤에 숨기는 기술입니다. 숨겨진 주소는 나가는 IP 패킷의 소스 주소인 단일(공용) IP 주소로 변경되므로 숨겨진 호스트가 아닌 라우팅 장치 자체에서 발생하는 것처럼 보입니다. IPv4 주소 공간을 보존하기 위한 이 기술의 인기로 인해 NAT라는 용어는 사실상 IP 매스커레이딩과 동의어가 되었습니다.

NAT(Network Address Translation)는 로컬 호스트에 인터넷 액세스를 제공하기 위해 하나 이상의 로컬 IP 주소를 하나 이상의 글로벌 IP 주소로 또는 그 반대로 변환하는 프로세스입니다. 또한 포트 번호 변환을 수행합니다. 즉, 대상으로 라우팅될 패킷에서 호스트의 포트 번호를 다른 포트 번호로 마스크합니다. 그런 다음 NAT 테이블에 해당 IP 주소 및 포트 번호 항목을 만듭니다. NAT는 일반적으로 라우터나 방화벽에서 작동합니다.

관련 정보