Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 8060 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two interfaces to the same LAN

DiePlage
Hello Folks,

this is an example of my setup:
ASG 7.405

ASG eth0 -> LAN (192.168.50.10/24)
ASG eth1 -> WAN (default GW)
ASG eth2 -> (free)
ASG eth3 -> (free)

I need to over watch the traffic between one LAN client (e.g. 192.168.50.110) and the rest of the LAN to find a possible security breach.
I thought of doing this by connecting 192.168.50.110 to a free interface on our ASG. I would set up the free interface (e.g. eth2) to have ip/subnet 192.168.50.11/24
But I don't know whether it is possible to have two interface connect to the same LAN without bridging them.
would it be possible to have the IDS watch traffic between the two network segments?

Thanx for any help!

Cheers


This thread was automatically locked due to age.
  • 0
    Why not just set up a PC running Wireshark in the network, and filter on the IP of the device you want to watch?

    It seems to me that you could indeed create a separate subnet for the offending PC, but you would need to change the default gateway and IP on the PC, make masq rules for it, etc.   That would allow you to run traffic from it through IPS.  I don't think that you would have a problem just because both subnets would be on the same, physical Ethernet network.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for your reply!

    I could use wireshark but I would like to take this chance to do some more detailed work with Astaro's IPS.
    If I get this working it would be a very straightforward way of setting up some kind of on-the-fly-DMZ without the need of using different IP subnets. It would be even better if I could find a solution that wouldn't require any alteration of the client's configuration.

    Basically, what I want to do is use an existing astaro to filter between different segments of the same LAN. I believe this can come in handy in a number of occasions. Securtiy issues may be one example, say you suspect one of your servers inside your lan to be under attack from within your lan or maybe you can see unusually high port utilization on a managed switch and want to find out what's going on.

    Maybe there is another way to achieve this? Maybe you could use two free interfaces to build a stealthed filter in the middle?

    I think SonicWall is doing this by the means of "network-zones" defined by ip/subnet+firewall-interface.

    The server I suspect to be infiltrated doesn't provide anything vital so it's kind of a study object for now :-)

    Cheers!
  • 0 in reply to DiePlage
    Hi, I don't think you could have 2 interfaces on the same LAN, but you could create a new LAN with a different IP subnet for the machines you wish to quarantine; Astaro would route traffic between the various LANs.

    Barry
  • 0
    Barry, I'm pretty sure you know more about this than I.  Please tell me the error in my thinking.  I reasoned that there would be no route in the other workstations for the out-of-my-subnet IP of the "target" machine, so they would send their messages to it to their default gateway, and the "target" machine would do the same, so no traffic with it would occur without passing through the Astaro.  I haven't tried it, so this is just theory from me.

    Cheers - Bob
  • 0 in reply to BAlfson
    I think the firewall would not understand 2 NICs on the same network, and even if it did, the workstations _wouldn't_ send the traffic to the gateway because all IPs are on the same LAN.

    I suppose bridging on the firewall could work though.

    Barry
  • 0 in reply to BarryG
    Barry,
    you are right. No routing would occur as all machines would be expected to be on the same subnet and therefore directly reachable.
    What if I changed the subnet-mask in a manner that both segments would indeed be different subnets?
    I would have to do some calculating though but it seems doable.
    Could I then use IPS to monitor the traffic between both subnets?

    Under different circumstances I would just create a DMZ with a different Subnet behind a different NIC. But in this case I want to raise as little "suspicion" on the compromised system as possible.
    I could just reinstall the server but then I would loose the chance to find out HOW the attack went...
  • 0 in reply to DiePlage
    You could setup a free interface with an internal address and use Astaro's VPN client to tunnel all traffic from the suspect machine to the firewall. The machine could be routed however you wish from the tunnel endpoint. Make sure you don't use split tunnel on the client.
  • 0 in reply to DiePlage
    Barry,
    you are right. No routing would occur as all machines would be expected to be on the same subnet and therefore directly reachable.
    What if I changed the subnet-mask in a manner that both segments would indeed be different subnets?
    I would have to do some calculating though but it seems doable.
    Could I then use IPS to monitor the traffic between both subnets?


    Hi, yes, and that would work well, except that you'd have to change the subnet mask on all the workstations (or on the DHCP server).

    Otherwise, bridging 2 NICs on the firewall should work for most traffic; I have noticed in the past that some broadcasts don't make it through bridges on Astaro though.

    Barry
  • 0
    DiePlage, the best and easiest solution from my point of view is the one which you already have mentioned on your own in your first post!

    Just connect the PC to on of the two free ethernet NICs and bridge this NIC to the existing eth0.

    It is exactly the intention of bridge to do what you want to achieve. It´s a matter of 2 minutes.

    And you can activate ALL ASG features on the bridge - firewall rules, IDS, all Proxies, even a VPN tunnel. No problem.
  • 0
    Thanks, Ölm, of course it's that simple!