[Bssldr]

Viimased uudised pahavara Flame kohta teevad murelikuks. http://www.computerworld.com/s/article/9227736/Researchers_reveal_how_Flame_fakes_Windows_Update

Tundub, et Windows usaldab liialt teisi LAN'is olevaid masinaid. Mis oleks siis võtted, et muuta LAN turvaliseks? Nii et, kui üks masin on nakatunud, siis teisi see ei mõjuta. Ise proovisin mõnda aega tagasi iga masina eraldi VLAN'i panna ruuteris, aga osutus liialt keeruliseks.

[Dogbert]

[Betamax]

LinkSysi ruuterites on tegelikult selline asi nagu Access Point Isolation linnukese lisamise olemas, mis keelab samas võrgus olevatel masinatel omavahelise suhtluse.

[Dogbert]

Kas see pole mitte Wifi-only feature?

[Betamax]

Viimati blokkis see mul nii WiFi-s kui ka LAN-is ühendused ära. Pole rohkem katsetanud.

[Dogbert]

Wifi <-> LAN blokeeris, kas LAN <-> LAN ka?

________________
parandus

Isegi kui toimib LAN <-> LAN isoleerimine, siis see eeldab, et kõik ühendused käivad läbi ruuteri. Kui on switch vahepeal kusagil, siis pole tolku sellest ju?
Mul hakkab mõte sassi minema, aeg lõpetada

[Betamax]

Iseseisev AP, mis saab oma IP serverilt (192.168.0.1) ja jagab ise IP-sid vahemikus (192.168.2.1-192.168.2.254). Vahepeal on switch.

[Dogbert]

Sedasi?

ruuter - switch - AP

Sel juhul - kuidas peaks AP seaded mõjutama switchi küljes olevaid ja AP-st sõltumatuid kliente? Ma saan aru küll, et AP küljes olevad Wifi kliendid on üksteisest isoleeritud ja küllap ka ülejäänud LAN liikmetest, mis switchi küljes on, aga switchi küljes olevaid LAN liikmeid omavahel see kuidagi isoleerida ei saa. Seda ma nagu üritasingi öelda, et see on vaid Wifile kehtiv asi.

Ma smart switchidega olen üsna vähe kokku puutunud, aga seal peaks olema võimalik nn "port isolation". Peaks suht sarnane asi olema.

[Betamax]

See ei mõjutanudki 192.168.0.XXX aadressidega arvuteid, aga need ei saanud 192.168.1.XXX aadressiga arvutitele nii või teisiti ligi. Sisuliselt blokiti ära Access Pointi tekitatud LAN-is ja WiFi-is olevad masinad. Ja see oli ka kogu mu jutu mõte.

[Bssldr]

[Dogbert]

Vaikimisi on peal ikka samal põhjusel, miks väga paljud asjad Windowsi puhul ebaturvalised on - kasutaja mugavuse pärast. Paraku on mugavus selline asi, mida väga sageli saavutatakse turvalisuse arvelt.

Arvesta, et isoleeritud masinad ei saa omavahel suhelda mitte mingil viisil. Failide liigutamiseks jääb vaid sneakernet.

[Bssldr]

[mahno]

Paned iga masina oma võrku, näiteks esimene masin on 10.0.1.1/24, teine 10.0.2.1/24 jne, serveri paned 10.0.1.1/16 võrku ja kõik. Kuna iga masin on eraldi subnetis, siis omavahel nad suhelda ei saa, kui sa eraldi neid ei ruudi

Võid VLANidega ka teha, mingit olulist megakeerukust ei saabu ju. Iga tööjaam on eraldi vlanis, serveritele lubad kõik vlanid. Pordid kõik access modes, siis ei pea masinatele midagi vlanidest seletama. Tulemüürimise osas ei saabu ju mingit keerukust, kuna reegleid teed ikka subneti peale. VLANID ei puutu üldse asjasse.

[Dogbert]

Jah, nii on kõige lihtsam muidugi. Ma esialgu lihtsalt eeldasin, et ta soovib samal ajal ka mingeid teatud ühendusi masinate vahel alles hoida, aga nagu lõpuks selgus - eesmärk ongi täielik isolatsioon. Ja sel puhul eraldi võrgud ongi kõige lihtsam lahendus.

[HacaX]

Kui eesmärgiks pole LAN vaid olukorra, kus igal masinal poleks oma modemit, tekitamine, siis võiks vabalt sisevõrgutuseks kasutatavad protokollid ära kustutada, s.o. ainus mis Connectionite all vastu vaataks oleks "Internet Protocol (TCP/IP)" mille seadetes eraldi "NetBIOS over TCP" kinni keeratud. IE seadetes "Local intranet" turvalisusaste Medium-High või lausa High peale kruvida, ning peakski raali suhtumine kõrvaltoas asuvasse masinasse olema sama paranoiline kui suvalise muu Internetis paikneva masina vastu.
Omaette mõte oleks ka masinas tarvitava tulemüüri kohendamine (loe: ruutris mässamise asemel paned masina tasandil paika, et teiste sisevõrgu IPde poole pöördumine on keelatud).

[estdata]

ehk siis tekkitada nähtamatu võrk ?

[Bssldr]

TG585v7'ga ei saanudki VLAN'e tööle. Nüüd on ruuteriks TG784. Toetab AP isolation'i, aga eriline tobedus selle puhul on see, et WLAN'is isoleerib küll masinad ära, aga LAN - WLAN suhtlus ikka toimib. Eks katsetan selle ruuteriga ka VLAN'e siis.