Rozdzielenie sieci LAN a ryzyko zawirusowania komp.

[Yourek 0]

Witam.

Z sieci LAN posiadam jakąś podstawową wiedzę i potrzebuję małej porady. W sieci połączenie wygląda mniej więcej tak:  ISP -> Główny router -> Switch (24 port).  

Do Switch'a (24 port) są podłączone różne urządzenia jak komputery, drukarki, inne routery. Główna sieć LAN pracuje w zakresie IP 192.168.0.1-255. 

Inne routery podłączone do switch'a (24 port) posiadają inną podsieć np 192.168.10.1-255  lub nawet 10.0.0.1  i urządzenia podłączone do tych routerów dostają odpowiednio adresy IP z ich podsieci. 

Czy jeśli jakiś komputer z innego routera z adresem 192.168.10.1-255  lub 10.0.0.1 zostanie zainfekowany wirusem to czy komputery podłączone do głównej sieci 192.168.0.1-255 również mogą zostać zainfekowane tym wirusem jeśli przedostanie się po sieci? Domyślam się, że jest taka możliwość więc jakie byłoby dobre rozwiązanie takiego problemu? Czytałem coś o VLAN'ach, ale na razie nie wiele o nich wiem. Czy w takim przypadku trzeba było by utworzyć VLAN'y?

 

 

Edytowane 16 Maja 2023 przez Yourek

[SeN81 34]

To zależy od konfiguracji. Skonfiguruj sobie VLANy tak aby każdy dodatkowy router podłączony do switcha był na oddzielnym VLANie. Wszystkie inne graty podłączone  do swichta a należące do podsieci głównego rutera też zepnij do jednego VLANa. Dobrą opcją jest też wydzielenie VLANów dla IoT które wymaga dostępu do netu ale nie musi się komunikować z komputerami z LANu, oraz IoT które nie musi mieć dostępu do netu. 

[Yourek 0]

A czy bez używania VLAN'ów dałoby się zabezpieczyć sieć czy raczej VLAN to takie "must have"? Pytam ponieważ wymagałoby to wymiany urządzeń sieciowych aby użyć VLAN.

[narmiak 502]

VLANy (Virtual Lan) robi się po to, żeby nie kupować osobnych routerów do każdej dodatkowej sieci. Skoro masz osobne routery skonfigurowane tak, że pracują w osobnych sieciach to nie musisz kombinować z VLANami dodatkowo. Efekt będzie ten sam.
Czy istnieje ryzyko infekcji? Wszystko zależy od tego, jak skonfigurujesz sobie firewalle między tymi sieciami, co masz podmapowane na urządzeniu, które zostanie zawirusowane, oraz od samego wirusa.

Żeby to było zrobione dobrze, to na firewallach między VLANami/LANami musiałbyś powycinać cały ruch i przepuścić tylko to, co jest potrzebne. Czyli na przykład ruch na porcie 53 (DNS) ale tylko do serwera DNS jeżeli jest w innej sieci, urządzenia, które nie potrzebują dostępu do Internetu nie powinny mieć możliwości łączenia się z nim, większość urządzeń IoT nie potrzebuje dostępu do udziałów sieciowych takich jak SAMBA...

[SeN81 34]

Efekt będzie ten sam o ile pod głównego switcha nie ma podłączonych żadnych urządzeń czy komputerów, a z tego co pisze to ma. Wiec wszystkie urządzenia z sieci 192.168.0.x bedą widoczne dla urządzeń ze wszystkich podsieci. A to raczej nie pożądana sytuacja. Wiec albo przekonfigurujesz sieci i do głownego routera podepniesz bezpośrednio router od poszczególnych podsieci , a przed tym dużym swichtem również wpinasz router albo idziesz w VLANy.

Wyglądało by to tak
                                                        /   router (192.168.10.x ) 
Głowny router ( 192.168.0.x)   ----  router (10.0.0.x)
                                                        \  router ( 172.16.0.x) --- switch 24 port  

Pytanie tylko czy główny router ma tyle użytecznych portów LAN aby podłączyć 3 routery.