lan mista intranet e interned sicurezza

[misterfox]

Ho messo due schede di rete su un pc. la prima è collegata a una rete aziendale (intranet), nella seconda vorrei collegare la rete locale (4 pc) ma la seconda rete ha accesso anche ad internet attraverso un router, non posso assolutamente permettere il collegamento della intranet a internet, quindi nella seconda rete ho bloccato l'ip dal router del pc, quindi ho provato e navigo tranquillamente nella rete intranet e attraverso la seconda scheda navigo soltanto nella rete lan ma non su internet. Secondo voi, ho fatto la procedura giusta? o ce ne sono migliori per bloccare da quel pc l'accesso a internet?
grazie in anticipo dei consigni

[Habanero]

Sposto in Reti Lan

[deleted_29]

ho un po' di labirintite con tutti questi pc che non si sa cosa siano nè cosa facciano.

Riassumendo abbiamo due sottoreti IP,
chiamiamole rete1 e rete2

La rete1 non è collegata ad internet, nè deve esserlo.
La rete2 invece sì, attraverso un router

Tu vuoi avere un computer (che computer? che sistema operativo?) che è collegato sia alla rete1 che alla rete2, impendendo però che la rete1 arrivi ad internet.
giusto?

[misterfox]

ok, allora spiego meglio:
rete 1 pc winxp intranet no internet ip statico e collegato ad un router ecc. rete riservata comunque che viaggia sul telecom ma su una linea dedicata.

rete 2 normalissima alice ads con 3-4 pc winxp in lan collegati ad un router linksys datato e a un network space 2 lacie.
Lo scopo è poter consultare il lacie e una stampante della rete lan.

la scheda di rete 1 è collegata al cavo che va al router intranet, la scheda di rete 2 la collego al router di alice.

Devo evitare che ci possa essere qualche buco dove da internet qualcuno o qualcosa possa entrare nella rete intranet per motivi di sicurezza. La cosa più logica che mi è venuta in mente è appunto non permettere al pc di andare in internet bloccando l'ip lan del pc.
Il router non ha molte funzioni, ha già qualche anno.
può essere sufficiente?

[deleted_29]

Originariamente inviato da misterfox
Devo evitare che ci possa essere qualche buco dove da internet qualcuno o qualcosa possa entrare nella rete intranet per motivi di sicurezza. La cosa più logica che mi è venuta in mente è appunto non permettere al pc di andare in internet bloccando l'ip lan del pc.

non mi è chiarissimo a cosa dovrebbe servire impedire un colloquio LAN-WAN, per motivi di sicurezza.
Devi impedire quelli WAN-LAN, semmai.

Nel momento in cui il computer con due schede di rete è collegato ad internet, è possibile prenderne il controllo e da lì agire sulla rete 1.
Non mi è neppure chiarissimo perchè vuoi usare un computer con due schede di rete (visto che windows tipicamente le configura in bridge), avrebbe un senso se utilizzassi una macchina linux o bsd con relativo iptables / ipfw.

Personalmente, per una configurazione del genere, metterei un firewall (zywall se lo vuoi "già fatto", altrimenti come sopra) tra la rete1 e la rete2, con regole piuttosto restrittive, ovvero consentire solo il traffico sulla porta della stampante di rete.
Riguardo al disco, se usi CIFS c'è poco da fare, è insicuro per definizione e te lo sconsiglio fortissimamente, in quanto chi ha il controllo della rete2, attraverso i buchi smb, può attaccare tranquillamente la rete1.
Nel caso potresti (se lo consente) attivare il server FTP del nassino e consentire dal firewall solo il traffico su quelle porte

---
Versione breve: sicurezza = nessuna connessione internet.
"nessuna" significa "nessuna".

Tutto il resto son ripieghi più o meno affidabili, ma mai sicuri

[misterfox]

ho capito più o meno.
Comunque attualmente usiamo le due reti appunto non collegate fisicamente, il fatto di mettere 2 schede è perché sui pc in rete 2 lan internet lavoriamo, ma poi spesso questo lavoro va trasmesso e ricevuto via mail dal pc in rete 1 sul quale abbiamo servizi che non sono usufruibili sulla rete internet, quindi dobbiamo spostare i dati da un pc all'altro con delle chiavette. In ogni caso chi usa la lan è autorizzato a usare sia la rete 1 che la rete 2 quindi da quel punto di vista non c'è problema. Il problema è se il virus o altro entra da internet e finisce in intranet.
Mi basterebbe trovare il sistema di poter accedere al lacie dal pc della rete 1, senza spostarmi con le chiavette. o chissà quale altra diavoleria per trasferire i dati da un pc all'altro, sono solo 5 metri da uno all'altro. Altra cosa che dimenticavo: al nas abbiamo dato l'accesso via ftp da internet ad alcuni utenti.
che casino, il fatto è che non sono in grado di quantificare il livello di rischio di questo ripiego. il badget è 0, dobbiamo usare quello che già abbiamo.
quindi ricapitolando: impossibile isolare il pc rete 1 da internet?

[deleted_29]

Originariamente inviato da misterfox

quindi ricapitolando: impossibile isolare il pc rete 1 da internet?

certo che è possibile, basta tenerli come ora, fisicamente disconnessi.

puoi adibire (immagino di no) una macchina con due schede di rete a firewall (con una distribuzione linux o bsd), o in alternativa una macchina virtuale?

[misterfox]

wow, le dritte di franzhauker mi hanno messo in allerta e fatto trovare una soluzione: quando devo pescarmi i dati dal nas, disabilito la scheda 1 e abilito la scheda 2, ma dovrei farlo fisicamente allora sarei in una botte di ferro. Chissa se esiste uno di quei commutatori con levetta tipo quelli che esistevano una volta per le porte seriali delle stampanti, perché se faccio la disattivazione/attivazione da windows, oltre al fatto che se lo faccio io può anche farlo un'hacker o va a finire che si dimenticano tutte due attivate, invece con il commutatore o va una o va l'altra. Deve esistere altrimenti la costruisco.
Grazie franz, come la vedi??

[deleted_29]

non posso che ripetermi: la certezza ce l'hai solo con la separazione fisica.
un grado assai elevato di sicurezza se metti un firewall (hardware o software) che blocca quasi-tutto
non ti so dire se esistono (immagino di sì) firewall gratuiti per windows, non lo uso mai per queste attività, rappresenterebbe una possibile soluzione (sia pure parziale) per le tue esigenze
vagamente rimembro qualcosa tipo questo
http://www.hsc.fr/ressources/outils/pktfilter/
ma non ti so dire se funziona, magari domani provo a vedere su una macchina virtuale XP come funzia

[misterfox]

purtroppo va oltre la mia capacità tecnica, devo studiare un po, intanto provo la soluzione dello switch manuale (Data Switch 2 vie RJ45) così non rischio niente.

http://www.commerciando.com/view.asp?F=1453&C=1239

oppure

http://www.ianua.com/patrizia/access...uali%20tec.htm

Anche perché il trasferimento dei dati da usare non è continuo, quindi è sempre più comodo che infilare la chiavetta da un pc all'altro.

Il sistema anche se spartano dovrebbe funzionare, pererei solo qualche secondo per agganciare la rete.

Grazie di tutto.

Ciao