Configuração segura e eficiente do roteador NAT de negócios

1

fundo

Estou projetando uma configuração de servidor para as pequenas empresas em que trabalho. Queremos poder hospedar nosso próprio servidor da web e outros serviços no futuro em nosso próprio local.

Sendo o cara de TI / de rede / guru de tecnologia em geral, estou aprendendo a ser o principal de todos os negócios. Infelizmente, tenho pouca experiência com redes, mas estou aprendendo e tem sido interessante.

Estive lendo sobre redes e acredito que tenho um entendimento bastante sólido do que está acontecendo com nossa rede. Entendo os princípios do encaminhamento de porta e a idéia de que um roteador pode ser usado como uma maneira de bloquear conexões de entrada para serviços. Também tenho o servidor da Web baseado em Nginx em funcionamento, embora ainda não tenha descoberto como conectá-lo à Internet.

Além disso, não temos realmente o orçamento para novos equipamentos, por isso estou me contentando com um monte de equipamentos de rede doméstica que temos por aí. Se isso for completamente insuficiente, avise-me, mas presumo que funcionará.

Aqui está um rápido desenho da configuração atual:

configuração atual

Começando na parte superior, a linha preta grossa (representando a conexão de dados do edifício, Comcast) é dividida em Internet no modem. Não há Ethernet embutida aqui - nosso negócio usa o wi-fi como método de uso da Internet. Portanto, o roteador wi-fi está conectado diretamente ao modem, porque é o único dispositivo no nível superior. O roteador wi-fi serve internet para uso diário.

Descrição do Problema

Segurança

Estou tentando fazer com que o servidor da Web seja isolado com segurança do resto da rede. Se o servidor estiver comprometido, não quero que ele afete os computadores que usamos no dia-a-dia.

Eficiência

Não quero fazer com que a rede "diária" fique muito lenta, adicionando o servidor. Também não quero que o servidor fique muito lento por causa do layout da rede.

Configuração

Como devem ser os endereços IP, máscaras de sub-rede e conexões para cada roteador?

Soluções

Solução A

Esta foi a primeira solução que surgiu. Usando um comutador de grupo de trabalho, eu queria dar aos dois roteadores posições de nível superior. O roteador do servidor encaminharia a porta TCP 80 (http).

Contras:

  • Eu não consegui trabalhar. Estou assumindo que isso ocorre porque os dois roteadores estão tentando obter o mesmo IP público atribuído à Comcast do modem. De alguma forma, o roteador da rede comercial funcionaria bem nessa configuração, mas o outro roteador não renovaria / liberaria endereços IP ou forneceria uma conexão externa à Internet (com uma falha no DNS como o motivo). Embora eu tenha tentado fornecer a cada roteador endereços IP diferentes (um 192.168.1.1, um 192.168.2.1), ele não resolveu o problema.

Prós:

  • Boa segurança. Se o servidor estiver comprometido, ele não poderá entrar na rede comercial. Na pior das hipóteses, poderia cheirar o tráfego do lado de fora, mas não tenho certeza se isso é possível.
  • Boa eficiência. Cada rede é reduzida apenas pela opção do grupo de trabalho.

Solução B

Essa foi a próxima solução que eu criei. É uma configuração no estilo DMZ que permite que o servidor esteja fora da rede comercial, mas ainda atenda HTTP.

Contras:

  • Na solução A, eu poderia atrapalhar o roteador do servidor e não haveria consequências para os negócios diários. Mas neste método, se eu estragar a configuração do roteador do servidor, isso significa problemas para todos.
  • Má eficiência. A rede comercial precisa passar por dois roteadores para acessar a Internet.
  • Má segurança do servidor. Se um dos computadores comerciais ficar comprometido, poderá danificar o servidor.

Prós:

  • Boa segurança de rede comercial. O servidor, se comprometido, não pode acessar os outros computadores.
  • Manipula IP público corretamente. Esta solução usa um roteador como o item de nível superior, o que significa que ele pode usar o DHCP para atribuir endereços IP, dos quais falta um switch de rede.

Solução C

Essa solução é semelhante à primeira solução, mas um roteador é usado em vez de um switch para fornecer o manuseio correto do IP.

Contras:

  • Má eficiência. Ambas as redes precisam passar por 2 roteadores para obter internet.

Prós:

  • Boa segurança. Nenhuma rede pode chegar diretamente à outra. Na pior das hipóteses, suponho que ocorra a detecção de tráfego (não tenho certeza).
  • Manipula IP público corretamente. Esta solução possui um dispositivo de nível superior que pode usar o DHCP para classificar endereços IP.

Bottom Line

Não tenho certeza de qual solução funciona melhor. Existe uma solução melhor que eu não tenha pensado?

Também não tenho certeza de como configurar a melhor solução para que ela atenda à Internet de maneira adequada e segura a cada rede. O que preciso fazer com endereços IP, portas abertas e máscaras de sub-rede para cada roteador?

Nota: Sei que a falha do servidor tem uma baixa tolerância a perguntas que usam hardware de rede doméstica. Essa é realmente a única razão pela qual postei aqui - quero que minha pergunta seja respondida e não quero fazer política. Se este for o site errado, eu apreciaria se você pudesse movê-lo para o local correto. Obrigado.

networking wireless-networking router webserver Gelo azul
fonte
1
Para ser honesto, se fosse minha rede, trabalhando com um orçamento baixo, o que eu tive que fazer muitas vezes, eu procuraria executar um PC agindo como um firewall. Pegue um PC antigo e certifique-se de inserir outra placa de rede (para DMZ adequada, você precisa de três NICs), instale o pfSense ou algo semelhante e, em seguida, conecte-o ao modem e passe o IP externo para o pfSense External NIC, um para o Server for DMZ e um para a sua rede. Você pode modificar as configurações do roteador para ser apenas um ponto de acesso WiFi e proteger adequadamente a rede.
CharlesH

Respostas:

1

Seguindo as três opções oferecidas, B é o melhor (IMO), pois mantém o servidor em uma rede de perímetro, e o roteador interno faz o firewall da rede de negócios interna da rede de perímetro (para que o servidor não possa acessar a rede de negócios) ) enquanto utiliza o menor equipamento.

A resposta "real" (novamente, IMO):

  • Obtenha um roteador que suporte uma zona desmilitarizada ( DMZ ) adequada .
  • Coloque o servidor na DMZ.
  • Verifique se existem rotas entre LAN e DMZ e WAN e DMZ.
  • Lucro.
Ƭᴇcʜιᴇ007
fonte
Obrigado pela resposta. Acho que, neste momento, irei com o B, com o objetivo de melhorar o hardware no futuro. Existe algo especial que eu precisaria fazer com os endereços IP e máscaras de sub-rede dos 2 roteadores em B? Eles precisam ser diferentes? Além disso, C ainda é uma solução segura e corrige o problema em A corretamente? Obrigado.
Blue Ice
A única palavra de cautela em B que posso oferecer é se o modem estiver passando pelo IP externo (ou mesmo se não for honesto), para garantir que você não seja pego pelo 'Double NAT', pois isso pode causar todos os tipos de problemas estranhos ...
CharlesH
@CharlesH Você pode explicar o que você quer dizer com "Double NAT"? Obrigado
Blue Ice
@Blue Ice efetivamente O NAT é o método de converter o IP externo para o intervalo de IP interno. No entanto, se você tiver dois ou mais dispositivos tentando executar o NAT, cada um deles acreditará que deve executar a conversão de rede de um endereço IP para o intervalo 'interno'. É completamente um no assunto profundidade, efetivamente qualquer dispositivo que é internet enfrentando com um IP interno (como 192.xxx) que está executando NAT tão desativar no outro dispositivo (s)
CharlesH