[fli4l] Zwei Subnetze auf gleicher ethX - Probleme mit Trennung der beiden

Christoph Schulz fli4l at kristov.de
So Jan 18 13:28:00 CET 2015


Hallo!

K.  Dreier schrieb:

> Bevor ich mich in Firewall rules verenne
> und etwas falsch konfiguriere, was nachher alles nur noch schlimmer
> macht, denke ich mir, dass es doch das Einfachste wäre, diese Geräte
> einfach in ein anderes Netz zu stopfen. Oder?

OK, aber:

> Konkret schaut es bei mir so aus (base.txt):
> 
> IP_NET_N='3'
> IP_NET_1='192.168.178.100/24'
> IP_NET_1_DEV='eth1'
> [...]
> IP_NET_3='192.168.1.100/24'
> IP_NET_3_DEV='eth1'

Das taucht immer wieder in der NG auf und ist zum Zwecke der Sicherheit 
wenig sinnvoll. Wenn die Geräte *physikalisch* am selben Netz hängen, dann 
können sie auch miteinander reden, denn niemand hindert ein Gerät daran, 
sich eine Adresse aus dem anderen Netz zu besorgen (also z.B. fest 
einzustellen) und somit alle Sicherheitsmaßnahmen auszuhebeln. Das Gerät 
muss nur auf der Leitung horchen, um die Adressen herauszufinden, es würde 
sogar ausreichen, allein den ARP-Datenverkehr zu untersuchen, denn den 
bekommt das Gerät auf Grund von Broadcasts ohnehin mit. Daraus kann man dann 
die verwendeten Subnetze ableiten, sich eine ungenutzte Adresse daraus 
suchen (wieder via ARP) und verwenden. Und -- zack -- ist das Gerät im 
anderen Subnetz drin.

Getrennte Netze bedeutet immer auch getrennt auf Hardware-Ebene. Das können 
verschiedene Switche sein oder verschiedene VLANs, dann ist es sinnvoll. 
Solange du aber physikalisch dasselbe Netz nimmst, ist der 
Sicherheitsgewinn, den du erzielen willst, zweifelhaft.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4L