Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 8062 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two interfaces to the same LAN

DiePlage
Hello Folks,

this is an example of my setup:
ASG 7.405

ASG eth0 -> LAN (192.168.50.10/24)
ASG eth1 -> WAN (default GW)
ASG eth2 -> (free)
ASG eth3 -> (free)

I need to over watch the traffic between one LAN client (e.g. 192.168.50.110) and the rest of the LAN to find a possible security breach.
I thought of doing this by connecting 192.168.50.110 to a free interface on our ASG. I would set up the free interface (e.g. eth2) to have ip/subnet 192.168.50.11/24
But I don't know whether it is possible to have two interface connect to the same LAN without bridging them.
would it be possible to have the IDS watch traffic between the two network segments?

Thanx for any help!

Cheers


This thread was automatically locked due to age.
Parents
  • 0
    Barry, I'm pretty sure you know more about this than I.  Please tell me the error in my thinking.  I reasoned that there would be no route in the other workstations for the out-of-my-subnet IP of the "target" machine, so they would send their messages to it to their default gateway, and the "target" machine would do the same, so no traffic with it would occur without passing through the Astaro.  I haven't tried it, so this is just theory from me.

    Cheers - Bob
  • 0 in reply to BAlfson
    I think the firewall would not understand 2 NICs on the same network, and even if it did, the workstations _wouldn't_ send the traffic to the gateway because all IPs are on the same LAN.

    I suppose bridging on the firewall could work though.

    Barry
  • 0 in reply to BarryG
    Barry,
    you are right. No routing would occur as all machines would be expected to be on the same subnet and therefore directly reachable.
    What if I changed the subnet-mask in a manner that both segments would indeed be different subnets?
    I would have to do some calculating though but it seems doable.
    Could I then use IPS to monitor the traffic between both subnets?

    Under different circumstances I would just create a DMZ with a different Subnet behind a different NIC. But in this case I want to raise as little "suspicion" on the compromised system as possible.
    I could just reinstall the server but then I would loose the chance to find out HOW the attack went...
Reply
  • 0 in reply to BarryG
    Barry,
    you are right. No routing would occur as all machines would be expected to be on the same subnet and therefore directly reachable.
    What if I changed the subnet-mask in a manner that both segments would indeed be different subnets?
    I would have to do some calculating though but it seems doable.
    Could I then use IPS to monitor the traffic between both subnets?

    Under different circumstances I would just create a DMZ with a different Subnet behind a different NIC. But in this case I want to raise as little "suspicion" on the compromised system as possible.
    I could just reinstall the server but then I would loose the chance to find out HOW the attack went...
Children
  • 0 in reply to DiePlage
    You could setup a free interface with an internal address and use Astaro's VPN client to tunnel all traffic from the suspect machine to the firewall. The machine could be routed however you wish from the tunnel endpoint. Make sure you don't use split tunnel on the client.
  • 0 in reply to DiePlage
    Barry,
    you are right. No routing would occur as all machines would be expected to be on the same subnet and therefore directly reachable.
    What if I changed the subnet-mask in a manner that both segments would indeed be different subnets?
    I would have to do some calculating though but it seems doable.
    Could I then use IPS to monitor the traffic between both subnets?


    Hi, yes, and that would work well, except that you'd have to change the subnet mask on all the workstations (or on the DHCP server).

    Otherwise, bridging 2 NICs on the firewall should work for most traffic; I have noticed in the past that some broadcasts don't make it through bridges on Astaro though.

    Barry