Extra subnet i.v.m. security - Netwerken

vrijdag 15 november 2013 03:03

Acties:

Topicstarter

Hallo,

Ik heb een vraag betreffend het aanmaken van een extra subnet d.m.v. een router of access point.
Op dit moment werk ik samen met collega's op een gedeeld netwerk met een aantal andere bedrijven (1 router, 1 verdieping) en wil ik graag een gescheiden netwerk opbouwen om zo de security wat te verbeteren.

In de huidige situatie staat er een Netgear router (D6300) met een 192.168.0.x subnet met daarin alle computers en randapparatuur. Wat ik wil is een apparaat (access point, router etc) die het voor mij mogelijk maakt om een gescheiden subnet op te bouwen van bijvoorbeeld 10.0.0.x. Echter zou ik wel graag gebruik blijven maken van een printer die in het 192.168.0.x subnet zit.

Een mogelijkheid om UTP kabels aan te leggen is er helaas niet dus ik ben op zoek naar een draadloze oplossing.

Kan ik simpelweg een router aanschaffen en met statische routes mijn subnet met enkel de printer verbinden?

vrijdag 15 november 2013 03:13

Acties:

42dpi

ლ(ಠ益ಠლ)

Vlan opzetten.

Si vis pacem, para bellum

vrijdag 15 november 2013 04:28

Acties:

CyBeR

💩

Ermahgerd schreef op vrijdag 15 november 2013 @ 03:03:
Kan ik simpelweg een router aanschaffen en met statische routes mijn subnet met enkel de printer verbinden?

Ja. Die static routes kun je zelfs overslaan.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 15 november 2013 11:15

Acties:

Giftcard

Ik zou de mogelijkheid van VLANs zekers meenemen. De naam zegt het al: Virtual LANs. Je kan daarmee gescheiden virtuele netwerken maken binnen je bestaande kabel structuur.
Op de router zelf kan je dan je VLANs routeren naar je printer.

Bijkomende werkzaamheden zijn dan wel dat elke computer in een VLAN moet worden gestopt, dat wordt gedaan op de switchport waar die computer op aangesloten zitten.
Als je dus veel netwerk componenten hebt kan dat duurder uitvallen.

Het hangt dus van de scalabity af, het budget en de behoefte om het verkeer echt te scheiden*.

* = Een routering van verschillende ip reeksen over 1 netwerk is in mijn ogen geen echt beveilgingsaspect.

"Secrets are only secrets if they are secret."

vrijdag 15 november 2013 11:28

Acties:

Paul

Wat voor apparatuur wil je er op aansluiten? Als het gewoon wat laptops zijn is een willekeurige router/accesspoint-combinatie ('wireless router') een goede optie, als je een heel kantoorpand wilt voorzien dan zijn er betere oplossingen.

Als het inderdaad gewoon een paar laptopjes (en misschien wat mobieltjes) zijn dan kun je inderdaad gewoon een wireless router kopen + neerzetten, aansluiting naar de rest van het netwerk in 'WAN', SSID en beveiliging instellen and you're good to go. Zo'n wireless router doet standaard NAT waardoor men van het kantoornetwerk niet op jouw netwerk kan tenzij je port forwards gaat maken of een DMZ-host instelt, maar jij kunt wel bij alles op dat kantoornetwerk (en daarachter, zoals internet).

De analogie met je internetverbinding thuis is snel gelegd: Jij krijgt maar één adres van het extranet en verdeelt dat over je intranet terwijl je toch bij alles van het extra/internet kunt.

Een router zonder NAT zou ook kunnen maar dan moet je wel met static routes aan de slag. Behalve dat dat lastiger is (want kan dat überhaupt wel op de printer? Als je het op de Netgear doet dan kan het hele netwerk zonder extra instellingen bij jouw netwerkje) en je hebt nog steeds niks afgeschermd (iedereen die weet welk IP de 'normale' router heeft kan bij jullie netwerk); dan moet er nog een firewall bij.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 18 november 2013 03:35

Acties:

Ermahgerd

Topicstarter

Helaas ondersteunt de huidige router geen VLANS en bovendien dient alles draadloos te zijn(op de routers na). Ik weet niet of er routers bestaan voor kleinschalig gebruik die virtuele wlans ondersteunen?

Opgesomd begrijp ik hieruit het volgende:
Er zullen laptops (4) en een aantal iPhones in het nieuwe subnet komen.
Een kabel van router 1 (192.168.0.x) is verbonden met de WAN van router 2.
Router 2 krijgt via DHCP een 192.168.0.x ip adres.
Router 2 heeft DHCP aanstaan met een 10.0.0.0-254 ip range.
Aangezien router 2 een gateway heeft in de 192.168.0.x ip range kunnen clients van de 10.0.0.x range wel het andere subnet bereiken maar andersom niet.

Aldus een willekeurige router kopen die NAT ondersteunt.

@Giftcard Ik begrijp dat verkeer van de nieuwe router wel afgeluisterd/beïnvloed kan worden maar het is toch een minimale verbetering in de veiligheid? Andere oplossingen worden waarschijnlijk een stuk duurder..

maandag 18 november 2013 09:04

Acties:

lier

MikroTik nerd

Ermahgerd schreef op maandag 18 november 2013 @ 03:35:
Helaas ondersteunt de huidige router geen VLANS en bovendien dient alles draadloos te zijn(op de routers na). Ik weet niet of er routers bestaan voor kleinschalig gebruik die virtuele wlans ondersteunen?

Andere router halen, en...ja.

Opgesomd begrijp ik hieruit het volgende:
Er zullen laptops (4) en een aantal iPhones in het nieuwe subnet komen.
Een kabel van router 1 (192.168.0.x) is verbonden met de WAN van router 2.
Router 2 krijgt via DHCP een 192.168.0.x ip adres.
Router 2 heeft DHCP aanstaan met een 10.0.0.0-254 ip range.
Aangezien router 2 een gateway heeft in de 192.168.0.x ip range kunnen clients van de 10.0.0.x range wel het andere subnet bereiken maar andersom niet.

Lelijke oplossing die ook niet precies doet wat je wilt.

Aldus een willekeurige router kopen die NAT ondersteunt.

En dat gaat lukken

@Giftcard Ik begrijp dat verkeer van de nieuwe router wel afgeluisterd/beïnvloed kan worden maar het is toch een minimale verbetering in de veiligheid? Andere oplossingen worden waarschijnlijk een stuk duurder..

Kijk eens naar de oplossingen van Mikrotik, heel betaalbaar en kan jou de gewenste situatie opleveren. Moet je echter wel wat (meer) moeite voor doen

Eerst het probleem, dan de oplossing

maandag 18 november 2013 13:07

Acties:

Paul

Ermahgerd schreef op maandag 18 november 2013 @ 03:35:
Ik weet niet of er routers bestaan voor kleinschalig gebruik die virtuele wlans ondersteunen?

Die zijn er zeker. De vraag is of dat hier nodig is, zeker als jij router1 niet kunt vervangen / aanpassen

Aangezien router 2 een gateway heeft in de 192.168.0.x ip range kunnen clients van de 10.0.0.x range wel het andere subnet bereiken maar andersom niet.

Een router met een poort die het specifiek 'WAN' noemt doet eigenlijk zonder uitzondering NAT

En dat men in 192.168.0.x niet naar jouw 10.0.0.x-range kan is toch precies wat je wilt?

Doordat het apparaat (als het goed is, wat is het merk/type van router2?) NAT doet kun je wel communiceren met de printer (mits je dat verkeer zelf initieert).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 19 november 2013 00:36

Acties:

Ermahgerd

Topicstarter

Ik begrijp dat ik in principe met een extra router uit de voeten kan wat betreft de segmentatie van het netwerk maar dat het geen ideale oplossing is.

Aangezien het hierbij voornamelijk om de security gaat vraag ik me af in hoeverre ik nu een extra beveiligingslaag opbouw. Ik scherm mijn subnet in ieder geval af van gebruikers die op het netwerk lopen te rommelen en wellicht wat malware dat zich zou kunnen propageren over het subnet. Het zou ook vertragend moeten werken voor hackers die van het internet komen.

Als ik de bovenstaande punten zou kunnen bereiken dan lijkt het mij de moeite waard qua tijd, moeite, en kosten.

Of zeggen jullie dat het onzin is?

dinsdag 19 november 2013 01:32

Acties:

FreakNL

Well do ya punk?

Het zou prima moeten werken. Zie de rest van het netwerk (wan) maar als de buitenwereld. Je bouwt zeker wel wat beveiliging in...