[fli4l] Zwei Subnetze auf gleicher ethX - Probleme mit Trennung der beiden
Christoph Schulz
fli4l at kristov.de
So Jan 18 13:28:00 CET 2015
Hallo!
K. Dreier schrieb:
> Bevor ich mich in Firewall rules verenne
> und etwas falsch konfiguriere, was nachher alles nur noch schlimmer
> macht, denke ich mir, dass es doch das Einfachste wäre, diese Geräte
> einfach in ein anderes Netz zu stopfen. Oder?
OK, aber:
> Konkret schaut es bei mir so aus (base.txt):
>
> IP_NET_N='3'
> IP_NET_1='192.168.178.100/24'
> IP_NET_1_DEV='eth1'
> [...]
> IP_NET_3='192.168.1.100/24'
> IP_NET_3_DEV='eth1'
Das taucht immer wieder in der NG auf und ist zum Zwecke der Sicherheit
wenig sinnvoll. Wenn die Geräte *physikalisch* am selben Netz hängen, dann
können sie auch miteinander reden, denn niemand hindert ein Gerät daran,
sich eine Adresse aus dem anderen Netz zu besorgen (also z.B. fest
einzustellen) und somit alle Sicherheitsmaßnahmen auszuhebeln. Das Gerät
muss nur auf der Leitung horchen, um die Adressen herauszufinden, es würde
sogar ausreichen, allein den ARP-Datenverkehr zu untersuchen, denn den
bekommt das Gerät auf Grund von Broadcasts ohnehin mit. Daraus kann man dann
die verwendeten Subnetze ableiten, sich eine ungenutzte Adresse daraus
suchen (wieder via ARP) und verwenden. Und -- zack -- ist das Gerät im
anderen Subnetz drin.
Getrennte Netze bedeutet immer auch getrennt auf Hardware-Ebene. Das können
verschiedene Switche sein oder verschiedene VLANs, dann ist es sinnvoll.
Solange du aber physikalisch dasselbe Netz nimmst, ist der
Sicherheitsgewinn, den du erzielen willst, zweifelhaft.
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L