Tweede netwerk (geisoleerd) - Netwerken

donderdag 19 december 2024 08:37

Acties:

0 Henk 'm!

Topicstarter

Hi,

Huidige situatie:

Apparaten: ONT (glasvezelmodem), modem/router, twee extra routers, en wall outlets in woonkamer, zolder en studio.

Netwerkopstelling:

ONT aangesloten op modem/router.
Modem/router verspreidt internet via wall outlets naar woonkamer, zolder en studio.

Gewenste situatie:

Twee gescheiden netwerken:
Primair netwerk: Voor algemeen gebruik (woonkamer en zolder).

Secundair netwerk: Geïsoleerd voor de studio (reden is stukje software welke mogelijk een virus bevat). Geen toegang tot het primaire netwerk.

Behoefte:

Isolatie tussen de netwerken. Beide netwerken hebben toegang tot internet.

Vraag:

Hoe kan ik deze gescheiden netwerken realiseren? Is een simpele switch tussen de ONT en de apparaten voldoende, of heb ik een managed switch nodig? Zijn er andere oplossingen om dit efficiënt op te lossen?

Graag hulp.

donderdag 19 december 2024 08:39

Acties:

0 Henk 'm!

hbsJR

All rounder

Met isolatie bedoel je dat je op papier 3 "eigen" internet verbindingen hebt? Ik heb dat zelf opgelost door een eigen modem te kopen en deze te configuren met VLAN. Elke VLAN zit aan een switch en zo heb ik de rest van de verbindingen verspreid over het huis.

Huidige setup:

draytek vigor 2135F
TP link switch (simpele dingetjes)
En dan met een tp link deco elk zijn eigen wifi geven.

[ Voor 20% gewijzigd door hbsJR op 19-12-2024 08:41 ]

donderdag 19 december 2024 09:24

Acties:

0 Henk 'm!

ItsmeSnitchess

Topicstarter

Morning!

Thanks voor je vlotte reactie.

Ik wil mogelijk besmette software, zo gecontroleerd mogelijk draaien, zonder kans op besmetting van andere devices of netwerk.

Dus ik wil 1 netwerk waar alle apparatuur op kan van zoals beneden, 1e en 2e verdieping. Dit mag 1 netwerk zijn.

Een tweede netwerk, puur en alleen geschikt voor de werkplek in de studio, afgesloten van communicatie met ander apparatuur.

Enige waar ik op uit kom is een geïsoleerd netwerk d.m.v. vlan, maar ik wil het liefst 2 aparte routers. Dit lijkt mij het meest veilig?

donderdag 19 december 2024 09:28

Acties:

+1 Henk 'm!

DiedX

Kan, maar moet dat virus ook het internet op?

Iets meer inhoud hierover zou kunnen helpen. Gebruik je gekraakte software, of ben je pentester van eea?

Virtualisatie wellicht?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 19 december 2024 10:13

Acties:

+2 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

Voorbeeld setup om dit werkend te maken:

WAN netwerk (naar buiten)
Netwerk-A, vlan 10, 192.168.1.0/24 (primair netwerk)
Netwerk-B, vlan 20, 192.168.2.0/24 (studio netwerk)

Een router gaat jou niet beschermen met dit soort dingen. Die routeert netwerk-A keurig met netwerk-B mits je daar niks aan veranderd.

Een firewall gaat jou verder helpen. Daar kan je regels in zetten dat netwerk-A wel naar WAN en Netwerk-B toe kan. Maar netwerk-B enkel naar WAN toe mag.

Verder ben ik wel benieuwd naar jou achterliggende beweegreden om i.v.m. een stukje software een apart netwerk op te zetten. Kan je die dan niet beter met bijvoorbeeld een 4G tether verbinding naar het internet toe communiceren? Nu bouw je een boel complexiteit in voor een vermoedelijk beveiligingsprobleem.

En mits er daadwerkelijk iets vies op staat zou ik adviseren om een machine helemaal niet aan het internet te koppelen. Draai backups terug, draai antivirus desnoods vanaf een bootable USB stick, nuke&pave de machine in kwestie. Je moet niet willen spelen met dirty stuff. Zeker in een tijd met ransomware meuk op het internet.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

donderdag 19 december 2024 10:16

Acties:

0 Henk 'm!

ItsmeSnitchess

Topicstarter

De werkplek in het geïsoleerde netwerk wil ik eigenlijk ontzien van internet, behalve 1 applicatie welke ik benodigd heb naast de mogelijk besmette applicatie, dit omdat ik niet met USB sticks wil blijven wisselen. Dit zou uiteraard opnieuw een risico vormen.

Het is software van een officiele leverancier, welke als virus wordt gezien. Het bedrijf zegt dat dit geen virus is, echter wil ik hier extra voorzichtig mee zijn. Dus geen pentester of gekraakte software.

Als er nog info benodigd is, hoor ik het graag, thanks allemaal voor het meedenken!

donderdag 19 december 2024 11:07

Acties:

+2 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

In dat geval zou ik de software draaien in een VM als een soort van sandbox opstelling. Zo blijft alles op je eigen machine schoon.

Een (fysieke) firewall kan jou hierbij helpen. Je benoemt 1 applicatie welke naar het internet toe moet kunnen gaan. Met een NGFW kan je bijvoorbeeld voor een enkele machine https verkeer naar een enkele URL openen. Gezien je specifiek 1 applicatie noemt welke nog wel moet blijven werken.

Ik blijf er wel bij dat dit nogal lastig gaat worden. Je heb applicaties op een machine welke wel / niet moeten kunnen communiceren. Tegelijk wil je deze applicaties ook niet uit elkaar trekken wat (zoals je terecht schrijft) een risico met zich mee brengt. Ik ben bang dat tenzij je het echt goed wil aanpakken (aparte container / VM / systeem met de software zonder enige vorm van communicatie met je thuis netwerk of externe bronnen) er nog vele gaten zullen blijven waarmee malafide software een boel schade kan maken.

Succes met de setup en de zoektocht, ik ben benieuwd hoe je het uit eindelijk wil gaan aanpakken

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

donderdag 19 december 2024 11:55

Acties:

+1 Henk 'm!

hbsJR

All rounder

Misschien dat deze post op medium nog aansluit bij je wensen en vragen: https://medium.com/@LDS_C...ment-in-esxi-ec3522a3f8a5

en: https://medium.com/@davho...is-in-vmware-b78218ef2e7f

donderdag 19 december 2024 14:01

Acties:

+1 Henk 'm!

jurroen

Security en privacy geek

Veruit de meest makkelijke manier zou zijn om de software inderdaad in een VM te draaien. Sommige hypervisors - waaronder VMware Workstation, hebben de mogelijkheid om bepaalde mappen met de host te delen, voor uitwisseling van data.

Overigens, zou je eens willen delen welke malware (virus) het zou betreffen? Daar valt vaak ook al op te maken of het mogelijk een false-positive is of dat je hier echt met malware te maken hebt en deze voorzichtigheid dan op z'n plaats is.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

donderdag 19 december 2024 17:55

Acties:

0 Henk 'm!

ItsmeSnitchess

Topicstarter

Ja daar ook nog aan gedacht alleen ben ik dan bang dat het wellicht door de bescherming van VM heen zou kunnen dringen, vandaar dat ik wilde mikken op echt een losstaand netwerk via een aparte router omdat ik die nog wel heb liggen

Thanks voor alle reacties en hulp, wordt gewaardeerd!

donderdag 19 december 2024 18:02

Acties:

+1 Henk 'm!

franssie

Save the albatross

Als je niet met VM wil werken, zou ik toch voor een managed router en switch switch gaan. De verdachte PC dan lekker aan een kabel hangen en goed testen of je echt niet je reguliere netwerk op kan. WiFi van je verdachte PC dus ook echt uitzetten.

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

vrijdag 20 december 2024 10:45

Acties:

+1 Henk 'm!

ItsmeSnitchess

Topicstarter

Ik ben er uit people..
Buurman kwam net met de ideale oplossing: een tweede sim bestellen van m' telefoon abonnement, di3 in een dongle en die weer op de werkplek in de studio.

Meer geïsoleerd kan niet😂
Waarom moeilijk als het makkelijk kan.

Bedankt iedereen voor het meedenken!

vrijdag 20 december 2024 23:08

Acties:

0 Henk 'm!

FredvZ

ItsmeSnitchess schreef op vrijdag 20 december 2024 @ 10:45:
Ik ben er uit people..
Buurman kwam net met de ideale oplossing: een tweede sim bestellen van m' telefoon abonnement, di3 in een dongle en die weer op de werkplek in de studio.

Mogen beide sims dan wel tegelijkertijd online zijn?

Spel en typfouten voorbehouden

vrijdag 20 december 2024 23:37

Acties:

+1 Henk 'm!

babbelbox

Maar als 4/5G een oplossing kan zijn, kun je altijd nog overwegen een aparte SIM hierdoor te bestellen.

woensdag 25 december 2024 09:46

Acties:

0 Henk 'm!

ItsmeSnitchess

Topicstarter

Ik dacht dus klaar te zijn maar helaas bied mijn provider geen dual sim. Maar goed, ik kijk het nog even aan. Kom voor nu verder.

woensdag 25 december 2024 10:14

Acties:

0 Henk 'm!

Shinji

Ik vind het maar bijzonder, je bent bang dat de software uit een geïsoleerde VM kan breken maar wil die software wel gewoon op je studio pc hebben draaien?

Een VM is hier juist ideaal voor want je studio pc blijft schoon.

woensdag 25 december 2024 10:18

Acties:

0 Henk 'm!

valkenier

ItsmeSnitchess schreef op vrijdag 20 december 2024 @ 10:45:
Ik ben er uit people..
Buurman kwam net met de ideale oplossing: een tweede sim bestellen van m' telefoon abonnement, di3 in een dongle en die weer op de werkplek in de studio.

Meer geïsoleerd kan niet😂
Waarom moeilijk als het makkelijk kan.

Bedankt iedereen voor het meedenken!

Ik zou het toch bij voorkeur bedraad oplossen, met 2 gescheiden LANs op 1 fatsoenlijke router.
Ben benieuwd naar dat gevaarlijke stukje software, waar hebben we het dan over?

woensdag 25 december 2024 11:17

Acties:

0 Henk 'm!

bananasplit

Sandboxie-plus is denk ik handig voor jouw, kost je niets, is beter dan alleen je netwerk beveiligen en minder gecompliceerd dan de beste oplossing zijnde een Virtual Machine gebruiken zoals @Yariva voorstelde.

zie:
https://www.ct.nl/achterg...rammas-op-in-een-sandbox/

[ Voor 24% gewijzigd door bananasplit op 25-12-2024 11:19 ]

woensdag 25 december 2024 11:30

Acties:

0 Henk 'm!

TheGhostInc

Je kunt ook een VPN gebruiken. Dan kun je de machine volledig isoleren en hoef je maar 1 IP/poort/... beschikbaar te maken.